第58篇：美国安全局NSA入侵西北工业大学流程图梳理和分析(正式篇)

## 第1 部分前言

大家好，我的名字是ABC_123。公众号已正式更名为“西坛实验室”，敬请关注。几周前我写了一篇文章《第56篇：美国安全局NSA入侵西北工业大学流程图梳理和分析（上篇）》，受到广泛关注，成为我公众号上第一篇阅读量超过2万的文章。今天，ABC_123重新参考了官网的报道，对文章进行了逐字整理，补充了一些细节，在流程图中添加了邮件钓鱼流程，修正了一些图标，然后重新发布了这篇文章，为广大网络安全从业者提供参考，更好地为祖国的网络安全事业做出贡献。

建议大家将公众号“西潭实验室”设为star，否则可能看不到！因为公众号现在可以显示大图推送，只有经常阅读和加星标的公众号。操作方法：点击右上角【.】，然后点击【设为星标】。

2022年，有消息曝出，中国西北工业大学长期遭受美国国家安全局NSA的网络攻击，该机构长期控制西北工业大学内部网络，获取大量敏感数据和技术信息。本期ABC_123，我们将仔细分析这次APT攻击，研究美国NSA组织的入侵思路，以及如何拦截和防范APT攻击。这也是“未知的攻击，如何防御”的道理。

在开始正式文章之前，ABC_123首先指出美国NSA直接利用远程溢出漏洞获取网络边界设备的访问权限。因此，部署在边界设备后面的安全设备很难得到保护。它们可能在内网的横向和后方渗透中发挥作用。

ABC_123对本次事件的分析主要参考了以下材料：

1、国家计算机病毒应急中心官网发布的两份报告《西北工业大学遭美国NSA网络攻击事件调查报告》。这两份报告内容非常丰富，有很多细节。

2、网络上关于该事件的零散报道透露了一些细节，但有些细节与官方报道不一致甚至矛盾。这个时候我还是以官方报告为权威，后续的跟进也证明了这个想法是正确的。

3、国外关于美国NSA组织及其攻击武器的分析文章很多，如“Sour Fox”浏览器0day攻击平台、“Second Date”中间人劫持工具、“Toast Bread”日志清理工具、“Precision Surgeon”木马进程隐藏工具、“Yumcha”嗅探工具等分析文章。

4、ABC_123结合其10多年的实践经验，对整个事件进行总结、梳理，力求还原APT攻击全过程。

声明：关于此次APT攻击，ABC_123的信息均来自互联网。它手头没有任何内部信息。它根据自己的经验总结整理了大量零碎的报告。因此，如果文章中有错误或者不合理的地方，还望批评指正。今后我会进行改正。这对我自己来说也是一个进步。

## Part2 技术研究过程

首先放出ABC_123重绘的APT攻击流程图。对20xx年4月的邮件钓鱼案进行了补充，修正了部分文字描述，修正了部分图标。这是通过阅读大量有关本次APT攻击的报道以及国外有关NSA的英文报道整理出来的。直观地反映了美国NSA入侵西北工业大学的整个过程。画这张图对我来说是一个很大的挑战。接下来我将根据这个流程图详细解释整个入侵过程。

### TAO具体行动办公室简介

TAO，国内译为“特定入侵行动办公室”，隶属于美国国家安全局（NSA），成立于1998年。目前是美国政府专门针对他国进行大规模网络攻击和窃取机密的战术执行单位。

美国国家安全局（NSA）针对西北工业大学的攻击行动代号为“shotXXXX”（shotXXXX）。行动由TAO负责人直接指挥，MIT负责搭建侦察环境和租用攻击资源； RT负责确定攻击策略和情报评估； ANT、DNT、TNT负责提供技术支持； ROC负责组织和实施攻击侦察行动。

### 初步攻击环境搭建工作

美国国家安全局在攻击前的准备阶段做了大量的工作，即匿名化攻击基础设施的建设，为隐藏自己的身份做足了功课。

美国国家安全局通过两家秘密成立的掩护公司从美国公司Telemark 购买了埃及、荷兰、哥伦比亚的IP 地址，并租用了一批服务器。这两家公司是Jack Smith Consulting 和Mueller Multisystems。美国国家安全局TAO 机构基础设施技术部门(MIT) 的工作人员使用“Amanda Ramirez”的名字匿名购买域名和通用SSL 证书。

随后，美国TAO机构利用购买的IP、域名和证书部署了中间人攻击平台“Foxacid”。经过后期溯源分析，发现该平台部署在哥伦比亚服务器IP上。

2013年斯诺登泄露的信息中提到了“酸狐”攻击平台，它可以与“二次约会”中间人攻击武器结合使用，也可以与电信运营商主干道上的“量子注入攻击”结合使用。可智能配置漏洞负载，对IE、FireFox、Safari、Android Webkit等多平台主流浏览器进行远程溢出0day漏洞攻击，从而获取目标系统的控制权。美国“Acid Fox”平台基础设施遍布全球，可实施包括MoTS链接劫持、MiM中间人攻击、邮件钓鱼攻击、Xss跨站脚本攻击等攻击，内置大量主流浏览器级别的0day漏洞。

###通过0day漏洞获取大量跳板机

TAO利用其掌握的两种SunOS操作系统“0day漏洞”利用工具（“Razor”攻击工具和“Island”攻击工具），选择中国周边国家的教育机构、商业公司等网络应用流量较大的服务器作为攻击目标。攻击成功后，安装NOPEN木马程序，控制大量跳板机。这些跳板机主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于日本、韩国等中国周边国家。

NSA 的TAO 机构随后使用这些跳板机传输指令，并将更高级别的跳板指令转发到目标系统，从而隐藏NSA 用于发起网络攻击的真实IP 地址。经国内安全专家溯源分析发现，TAO从其接入环境（美国国内电信运营商）控制跳板机的IP地址至少有4个，分别为209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。

为了进一步隐藏跳板机和代理服务器与NSA的关系，NSA利用American Register公司的匿名保护服务，将相关域名、证书、注册人等可追溯信息进行匿名化处理，使其无法通过公共渠道查询。

### 通过远程溢出漏洞获取边界服务器权限

在外围管理方面，美国NSA的TAO机构与其他APT组织不同的是，他们很少利用Web级漏洞。在这起APT案件中，该机构使用“孤岛”攻击武器，利用Solaris远程溢出漏洞获取西北工业大学边境服务器的访问权限。 “孤岛”攻击武器可以对开启指定RPC服务的Solaris系统进行远程溢出攻击，直接获得对目标主机的完全控制。与“剃刀”攻击工具不同的是，该工具不具备独立检测目标服务开放状态的能力。用户需要手动配置目标及相关参数，以实现更精准的漏洞利用。

### 发送网络钓鱼电子邮件

20xx年4月，西北工业大学部分师生遭到钓鱼邮件攻击。这些钓鱼邮件以科研评论、答辩邀请、海外通知等为主题，并含有木马程序，引诱部分师生点击链接，非法获取师生邮件登录权限，导致相关邮件数据被盗的风险。与此同时，部分教职员工的电脑也出现了遭受网络攻击的迹象。

### 中间人劫持边境服务器

随后，美国TAO组织在每台服务器上安装了“NOPEN”后门工具。 “NOPEN”是一种远程控制木马，支持多种操作系统和不同架构。它可以通过加密隧道接收指令，执行文件管理、进程管理、系统命令执行等各种操作。它还具有升级权限并保留的能力。

“Second Date”中间人劫持工具被安装在NPU的网关服务器、边界路由器和其他网络边缘设备和服务器上。该工具通过精确过滤并自动劫持海量数据流量来实现中间人攻击。它劫持流经设备的流量，引导至“Sour Fox”平台实施浏览器级0day漏洞攻击，并安装“validator”木马或MistyVeal木马。

###内网横向流程

如下图所示，NSA在不同时间段，通过前期获得的跳板机作为命令中继，非法入侵西北工业大学运维网络的“telnet”运维管理服务器、运维网络监控管理服务器、内网服务器等服务器。它采用木马级联控制和渗透的方式渗透到西北工业大学。深度渗透学校内部网络，先后控制运维网络、办公网络的核心网络设备、服务器和终端，并获得西北工业大学内部路由器、交换机等部分重要网络节点设备的控制权，窃取认证数据，进一步实施渗透和扩展，最终实现对西北工业大学内部网络的隐蔽控制。

### 办公网络中个人主机的渗透

美国TAO机构利用“Second Date”中间人劫持工具，通过“量子注入”攻击方式或钓鱼邮件方式，将“Sour Fox”攻击平台发送的浏览器0day攻击代码插入到HTTP流量返回包中。它获取了西北工业大学办公网络内的大量个人主机权限，然后安装了“Rage Jet”远程控制木马。该木马兼容不同版本的Windows系统。该木马本身具有很强的反分析和反调试能力。

随后通过木马获取敏感数据，通过CDR加密传输，由埃及跳板机IP、丹麦跳板机IP、荷兰跳板机IP、捷克跳板机IP返回，汇总至“酸狐”攻击平台。美国国家安全局工作人员通过Foxsearch 情报工具检索了敏感信息。

### 权限维护和痕迹清理

TAO获得内网主机权限后，通常会安装“NOPEN”木马进行文件操作，然后安装“Precision Surgeon”工具隐藏“NOPEN”木马的文件和进程，再安装“银茶”嗅探工具进行telnet运维，嗅探管理服务器的ssh、telnet、rlogin等账号密码，收集服务器日志、命令操作记录、服务器配置文件等，并获取大量边界服务器账号密码、运维人员账号密码、FTP服务器信息等。

美国TAO组织在获取敏感信息后，还会安装“吐司面包”工具。该工具主要用于清理服务器日志，消除攻击痕迹。稍后，它可能会安装“Cunning Heretic”后门。该后门具有自删除、权限提升等功能。最重要的是它可以随操作系统自动启动，并可以长期潜伏在服务器中保持权限。以便为适时通过加密隧道上传“NOPEN”木马做好准备，确保NPU网络的长期控制。

## 第三部分总结

1、美国NSA的APT组织与其他APT组织的立足点不同。从其使用的“量子注入”攻击技术、中间人劫持工具以及配套的“Sour Fox”浏览器0day攻击平台来看，美国NSA的目标是全球行动。就像美国的军事基地和航母战斗群一样，它可以攻击世界任何地区。

2、美国NSA在外围管理方面与其他APT组织不同。拥有难以想象的操作系统层面远程溢出0day漏洞以及各种主流浏览器0day漏洞。在外部网络管理的初期，他们很少使用Web漏洞或脚本漏洞。有时远程溢出漏洞会直接穿透各种防护。在这方面，其他国家APT组织远远落后。

3、美国NSA组织拥有较强的漏洞挖掘能力和网络攻击武器开发能力。已经开发出种类繁多、数量众多的各种攻击武器。根据之前的分析报告，同一个木马可能有几十个版本。 2017年，“影子经纪人”泄露了美国NSA的“Formula Group”工具包，其中包含十多个远程溢出漏洞利用工具，令整个安全界惊叹不已。

4、在APT攻击的初期，美国NSA会做很多准备工作，包括匿名购买域名和服务器，甚至成立公司购买各种资源。在利用跳板方面，他们会利用0day漏洞获取目标国家邻国的服务器来隐藏身份。

5、稍后ABC_123会专门写一篇文章，分析如何检测和防范美国NSA的量子注入攻击，讲解国内安全专家是如何一步步追查美国NSA攻击源头的，以及如何判断该攻击与美国NSA有关。

转载自公众号西潭实验室：https://mp.weixin.qq.com/s/ZnURmB5lc8Ckh7LZJ6IPWw 作者：abc123info