第58篇：美国安全局NSA入侵西北工业大学流程图梳理和分析(正式篇)

Part1 前言

大家好，我是ABC_123，公众号正式更名为”希潭实验室”，敬请关注。前几周写了一篇《第56篇：美国安全局NSA入侵西北工业大学流程图梳理和分析（上篇）》文章，得到了广泛关注，成为本人公众号首篇访问量破2万的文章。今天ABC_123重新参考官网的报告，一字一句对该篇文章进行了校勘，补充部分细节，流程图增加了邮件钓鱼过程，更正了部分图标，然后重新发布此文章，给广大的网络安全从业人员提供一个参考，更好地为祖国的网络安全事业做出贡献。

建议大家把公众号“希潭实验室”设为星标，否则可能就看不到啦！因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法：点击右上角的【...】，然后点击【设为星标】即可。

在2022年爆出了中国的西北工业大学长期遭受美国国家安全局NSA的网络攻击，长期控制西工大内网获取了很多敏感数据及技术资料。本期ABC_123就仔细分析一下此次APT攻击事件，研究一下美国NSA组织的入侵思路以及如何对APT攻击进行阻止和防范，这也是“未知攻，焉知防”的道理。

在正式文章开始之前，ABC_123首先指出一点，美国NSA是直接使用远程溢出漏洞获取了网络边界设备权限，所以部署在边界设备后面的安全设备很难防护，也许在内网横向及后渗透中可以发挥作用。

ABC_123对于此次事件的分析主要参考了以下资料：

1. 国家计算机病毒应急处理中心官网发布的两篇《西北工业大学遭美国NSA网络攻击事件调查报告》，这两篇报告信息量特别大，细节特别多。
2. 网络上关于此次事件的零碎报道透露的一些细节，但部分细节内容与官方报告不相符合，甚至是矛盾的，此时我还是以官方报告为权威，后续也证明这个思路是对的。
3. 国外的很多关于美国NSA组织及其攻击武器的分析文章，比如对于“酸狐狸”浏览器0day打击平台、“二次约会”中间人劫持工具、“吐司面包”日志清理工具、“精准外科医生”木马进程隐藏工具、“饮茶”嗅探工具等的分析文章。
4. ABC_123结合自己10多年的实战经验，对整个事件进行归纳总结，重新梳理，争取还原APT攻击流程的全貌。

声明：关于此次APT攻击事件，ABC_123的资料全来自于网络，手头没有任何的内部资料，根据自己的经验对大量的零碎的报道进行归纳整理，所以如果文章有错误或不合理之处，还希望批评指正，我后续会进行更正，这对我自己也是一个提高。

Part2 技术研究过程

首先放出一张ABC_123重新绘制的此次APT攻击事件的流程图，补充了20xx年4月的邮件钓鱼案例，更正了部分文字描述，更正了部分图标。这是通过阅读大量的关于此次APT攻击事件的报道及国外关于NSA的英文报道梳理出来的，直观地反映了美国NSA入侵西北工业大学的全过程，绘制这个图对我来说是一个很大的挑战，接下来依据此流程图，详细讲解整个入侵流程。

TAO特定行动办公室介绍

TAO国内翻译为“特定入侵行动办公室”，属于美国国家安全局NSA旗下，成立于1998年，是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位。

美国国家安全局（NSA）针对西北工业大学的攻击行动代号为“阻击XXXX”（shotXXXX）。该行动由TAO负责人直接指挥，由MIT负责构建侦察环境、租用攻击资源；由R&T负责确定攻击行动战略和情报评估；由ANT、DNT、TNT负责提供技术支撑；由ROC负责组织开展攻击侦察行动。

前期攻击环境搭建工作

美国NSA在攻击前的准备阶段做了大量工作，称之为匿名化攻击基础设施的建设，为隐藏自己身份方面做足了功课。

NSA通过秘密成立的两家掩护公司向美国泰瑞马克公司购买了埃及、荷兰和哥伦比亚等地的IP地址，并租用一批服务器。这两家公司分别为杰克•史密斯咨询公司、穆勒多元系统公司。NSA的TAO机构的基础设施技术处（MIT）工作人员使用“阿曼达•拉米雷斯”的名字匿名购买域名和一份通用的SSL证书。

随后，美国TAO机构使用上述购买的IP、域名和证书部署了中间人攻击平台“酸狐狸”（Foxacid），经过后期溯源分析，该平台部署在哥伦比亚服务器IP上。

“酸狐狸”攻击平台，是2013年斯诺登泄露的资料中提到的，可结合“二次约会”中间人攻击武器使用，或者在电信运营商主干道上结合“量子注入攻击”使用，可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出0day漏洞攻击，获取目标系统的控制权。美国的“酸狐狸”平台有遍布全球的基础设施，可以实施攻击包括Mots链路劫持、MiM中间人攻击、Email邮件钓鱼攻击、Xss跨站脚本攻击等，其内置了大量的主流浏览器级别的0day漏洞。

通过0day漏洞获取大量跳板机

TAO利用其掌握的针对SunOS操作系统的两个“0day漏洞”利用工具（“剃须刀”攻击工具和“孤岛”攻击工具），选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标，攻击成功后安装NOPEN木马程序，控制了大量跳板机。这些跳板机主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于中国周边国家，如日本、韩国等。

随后NSA的TAO机构使用这些跳板机进行指令中转，将上一级的跳板指令转发到目标系统，从而掩盖美国国家安全局发起网络攻击的真实IP。经过国内安全专家的溯源分析，目前已经至少掌握TAO从其接入环境（美国国内电信运营商）控制跳板机的四个IP地址，分别为209.59.36.、69.165.54.、207.195.240.和209.118.143.。

为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系，NSA使用了美国Register公司的匿名保护服务，对相关域名、证书以及注册人等可溯源信息进行匿名化处理，无法通过公开渠道进行查询。

通过远程溢出漏洞获取边界服务器权限

美国NSA的TAO机构在外围打点方面，与其他APT组织不同，他们很少使用Web层面的漏洞，在本次APT案例中，该机构使用“孤岛”攻击武器，利用Solaris远程溢出漏洞获取了西北工业大学的边界服务器权限。“孤岛”攻击武器可针对开放了指定RPC服务的Solaris系统实施远程溢出攻击，直接获取对目标主机的完整控制权，与“剃须刀”攻击工具的不同之处在于此工具不具备自主探测目标服务开放情况的能力，需由使用者手动配置目标及相关参数，实现更精准的漏洞利用。

发送钓鱼邮件

20xx年4月，西北工业大学部分师生遭受到了钓鱼邮件攻击，这些钓鱼邮件以科研评审、答辩邀请和出国通知等为主题，内含木马程序，引诱部分师生点击链接，非法获取师生电子邮箱登录权限，致使相关邮件数据出现被窃取风险。同时，部分教职工电脑也存在遭受网络攻击的痕迹。

对边界服务器进行中间人劫持

随后，美国TAO组织在每台服务器上安装“NOPEN”后门工具，“NOPEN”是一种支持多种操作系统和不同体系架构的远控木马，可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作，并且本身具备权限提升和持久化能力。

在西工大的网关服务器、边界路由器等网络边界设备及服务器上，安装了“二次约会”中间人劫持工具，该工具通过对海量数据流量进行精准过滤与自动化劫持，实现中间人攻击功能，劫持流经该设备的流量引导至“酸狐狸”平台实施浏览器级别0day漏洞攻击，安装“验证器”木马或者MistyVeal木马。

内网横向过程

如下图所示，NSA在不同的时间段，通过前期获取的各个国家的跳板机作为指令中转，非法入侵了西北工业大学运维网络的“telnet”运维管理服务器、运维网络监控管理服务器、内网服务器等服务器，利用木马级联控制渗透的方式，向西北工业大学内部网络深度渗透，先后控制运维网、办公网的核心网络设备、服务器及终端，并获取了部分西北工业大学内部路由器、交换机等重要网络节点设备的控制权，窃取身份验证数据，并进一步实施渗透拓展，最终达成了对西北工业大学内部网络的隐蔽控制。

对办公网个人主机渗透

美国TAO机构借助“二次约会”中间人劫持工具，通过“量子注入”攻击方式或钓鱼邮件方式，在HTTP流量返回包中插入“酸狐狸”攻击平台发送的浏览器0day攻击代码，获取到了大量西北工业大学办公网内部的个人主机权限，然后安装了“怒火喷射”远控木马，此款木马可兼容不同版本的Windows系统，木马本身具备极强的抗分析、反调试能力。

随后通过该木马获取了敏感数据，通过CDR加密传输，由埃及跳板机、丹麦跳板机IP、荷兰跳板机IP、捷克跳板机IP进行回传，汇总到“酸狐狸”攻击平台，美国NSA的工作人员通过Foxsearch情报工具对敏感信息进行检索。

权限维持及痕迹清理

TAO在获取一台内网主机权限之后，通常都会安装“NOPEN”木马进行文件操作，然后再安装“精准外科医生”工具对“NOPEN”木马的文件和进程进行隐藏，随后安装“饮茶”嗅探工具，对telnet运维管理等服务器的ssh、telnet、rlogin等账号密码进行嗅探，同时收集服务器日志，命令操作记录，服务器配置文件等，同时获取了大量边界服务器账号密码，运维人员账号密码，FTP服务器的资料等等。

在获取敏感资料之后，美国TAO组织还会安装“吐司面包”工具，该工具主要用于清理服务器日志，消除攻击痕迹，之后可能会安装“狡诈异端犯”后门，该后门有自删除，权限提升等功能，最重要的是可以随操作系统自启动，可长期潜伏在服务器中作为权限维持使用，以便在合适时机，通过加密隧道上传“NOPEN”木马做准备，保证对西工大网络进行长期控制。

Part3 总结

1. 美国NSA的APT组织，他的立足点与其他APT组织不同，从其使用的“量子注入”攻击技术、中间人劫持工具与配套的“酸狐狸”浏览器0day打击平台来看，美国NSA的目标是全球作战，就像美军基地和航母战斗群一样，可以打击全球的任何一个地区。
2. 美国NSA在外围打点方面与其他APT组织不同，拥有难以想象的操作系统层面上的远程溢出0day漏洞和各种主流浏览器0day漏洞，在外网打点的初始阶段，他们很少用Web漏洞或者脚本漏洞，有时候直接是远程溢出漏洞打穿各种防护，在这方面其他国家APT组织都望尘莫及。
3. 美国NSA组织拥有强大的漏洞挖掘能力和网络攻击武器研发能力。研发了种类繁多、数量繁多的各种攻击武器，根据以往的分析报告显示，同一种的木马可能就有几十个版本。在2017年“影子经纪人”泄露了美国NSA“方程式组织”工具包，里面的十几个远程溢出漏洞利用工具，让整个安全圈都为之惊叹。
4. 美国NSA在一次APT攻击事件前期，会做大量的准备工作，包括匿名购买域名及服务器，甚至会专门成立公司去购买各种资源，在跳板机使用方面，他们会使用0day漏洞去获取目标国家的周边国家的服务器，以此隐藏自己身份。
5. 后期ABC_123会去专门写文章去分析一下，如何检测与防范美国NSA的量子注入攻击，讲解国内安全专家是如何一步步把美国NSA攻击事件溯源出来的，以及如确定攻击事件与美国NSA有关。