长亭百川云 - 文章详情

抓NSA特种木马的方法

天御攻防实验室

56

2024-07-13

我不会说只有我一个人知道这种方法,但这可能是第一次公开讨论。这就好比,美国情报机构说:“俄罗斯将在2022年2月24日入侵乌克兰”,但美国情报机构绝对不会告诉你,他是如何知道的以及从哪里搞到的情报。所以,这是不管你花多少钱,情报机构、网络安全厂商都绝对不会说的东西!
**
那么,我是如何知道这种抓NSA特种木马的方法呢?以下就是线索**

1.前NSA黑客部门TAO负责人Robert Joyce,也就是国家计算机病毒应急处理中心认为其是网络攻击西北工业大学的行动负责人,在一次演讲上透露,

“一旦攻击者进入了网络,他们会安装一些工具,对吧?通常首先安装的都是轻量级的、简单的信标工具。它们的目的是建立一个立足点,然后再将真正要执行任务的工具传输下来。我认为,反病毒软件行业有时会因为无法阻止某些攻击而备受诟病。如果你的杀毒软件只是一个不应该在电脑上运行的"坏东西"的列表,那不是一个好办法,因为这意味着攻击者只要搞一个独特的、以前从没在你电脑上运行过的程序,就永远不会被列入那个黑名单。但是,随着威胁情报的研究和技术的发展,现在更多地使用基于信誉的服务。这意味着,每一个想在你的机器上执行的软件,都会被哈希,然后提交到云端。如果一个信誉服务告诉你,一个你认为可以运行的有趣的程序,在整个互联网的历史上只运行过一次,而且是在你的机器上运行的,那你最好提高警惕,因为它八成有问题。

2.前NSA TAO黑客Mike Wiacek建立了一个收集全世界可执行文件的平台Stairwell。

“在Stairwell,我们从零开始构建平台,使其具有高度的威胁防御能力。我们收集企业内每台机器上所有独特的可执行文件和类似可执行的文件,并将它们永久存储在我们云平台上的不可变存储库中。所有分析、扫描、处理和决策都在后台进行,与终端设备完全隔离。

虽然攻击者可能会通过逆向工程来绕过传统的安全产品,但我们的方法不给他们留下任何可逃避的空间——每一个相关文件都会被收集。我常说:"没有一粒灰尘能有选择地逃过吸尘器!"在Stairwell,分析过程不会向终端设备反馈任何信息,攻击者没有东西可以逆向工程或用来测试他们的工具。此外,如果有人快速制造文件变体,我们的变体发现系统会立即察觉,从而揭露任何试图主动探测我们分析能力的企图。

攻击者从我们这里学不到任何东西,反而是我们能从他们每次的规避尝试中获得洞察,这实际上就是在反过来利用攻击者!”

3.当然,还有一些不方便透露来源的情报

A:

你在修补零日漏洞。就像你在修补零日漏洞。你不是在保护好人或坏人。你只是在保护Chrome,对吧?就像在,再说一次,如果你知道Google Project Zero知道一个Chrome零日漏洞正在被野外利用,他们说,它有美国的味道,然后决定置之不理。就像,a,它不包括平行发现。没有其他人拥有它 b,就像他们有一种归因的感觉,你知道,他们确定这是美国,并且对此感到非常舒服。c,就像,你在谈论他们放弃了他们应该做的核心职责。我认为讨论。。。所有这些讨论我们可以进行。但认为他们应该看着一个零日漏洞,这是他们自己个人负责处理的,然后置之不理,这似乎是一个荒谬的要求。

B:

所以你是在说他们应该把他们发现的每个零日漏洞都通过美国政府?
**
除本文提到的方法外,我们之前还曝光过NSA特种木马的攻击手法**

NSA的NOBUS指导原则

2013年,前NSA局长Michael Hayden在一次会议上表示“这个世界的进攻和防守都取决于漏洞问题”。接着 Hayden 阐述了NOBUS(Nobody But Us)的概念,即如果NSA认为其他人无法利用某个漏洞,它会放任漏洞不修,以助于自身的间谍活动。

NOBUS作为NSA网络间谍行动(CNE)的指导原则,而这种指导原则反映在漏洞、后门和植入物的设计上。

1.Stuxnet事件表明,NSA可能储备了大量零日漏洞。

2.NSA在Dual EC加密标准中植入的后门就是一个典型的NOBUS后门。

3.TAO在植入物设计上,会为每个目标生成一个新的公钥。
**
我们生活在“砖家”云集的时代!**

某些单位,搞出个什么“挂图作战”(挂图扯蛋),说是什么核心关键技术,笔者怀疑这帮人会不会就是当初那帮喊态势感知(泰式按摩)的那帮人。
**
我们连最基本的检测、响应、取证也没解决好!**

这些年,国内网络安全行业都在“追星”,每年都有很多新名词,但是,最基本的检测、响应、取证都没有做好。谁要是说,帮国家网络安全、行业解决了“卡脖子”问题,无非是欺人愚己。

有一些网络安全厂商宣称自家的大模型是高级安全专家,能自主干活,替代安全专家,“一台机器人能够提供相当于60多位安全专家的运营效率”。

在笔者看来,生成式AI/大模型等人工智能技术只是辅助工具,能够辅助安全专家做一些事情,能自动化做一些事情,但绝对不可能替代安全专家。

生成式AI也好,大模型也好,无非新瓶装旧酒,新技术解决老问题。

不仅是人工智能、网络安全,

新型基础设施,如量子互联网、卫星互联网、天基物联网、海底光缆、海底导航系统、下一代通信网络,以及清洁能源、汽车、半导体、通信技术等

核心关键技术都掌握在西方手里,所以咱们也别总说“遥遥领先”、自己产品、技术多么牛逼(真不是那么回事),别总想着搞钱。多务实,干实事,多想想怎么为行业、国家贡献力量!

最后,

去他的挂图作战,抓不到西方APT的技术,都是狗屁!

推荐阅读

闲谈

  1. 中国网络安全行业出了什么问题?

  2. 国内威胁情报行业的五大“悲哀”

  3. 安全产品的终局

**
威胁情报**

1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链
**
APT**

  1. XZ计划中的后门手法 - “NOBUS”

  2. 十个常见的归因偏见(上)

  3. 抓APT的一点故事

  4. 揭秘三角行动(Operation Triangulation)一

  5. 闲话APT报告生产与消费

  6. 一名TAO黑客的网络安全之旅

  7. NSA TAO负责人警告私营部门不要搞“黑回去”

**
入侵分析与红队攻防**

  1. 入侵分析与痛苦金字塔

  2. 资深红队专家谈EDR的工作原理与规避

**
天御智库**

  1. 独家研判:五眼情报机构黑客纷纷浮出水面

  2. 美军前出狩猎并不孤单,美国网络外交局优先事项分析

  3. 《国际关系中的网络冲突》

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2