长亭百川云 - 文章详情

第100篇:美国NSA全球个人信息检索系统XKeyscore关键得分的介绍

希潭实验室

33

2024-08-08

 Part1 前言 

大家好,我是ABC_123。公众号已经更新两年多了,这是我个人的第100篇原创。前面很长时间,ABC_123阅读了大量的国外资料,给大家总结分享了美国NSA的几款网络攻击武器:主动防御系统TUTELAGE、Turmoil被动监听系统、Turbine任务逻辑控制系统、顶级后门UnitedRake联合耙、量子注入攻击手法、攻击伊朗核设施的震网病毒等等。本期继续给大家介绍,近几年来国外一直被媒体报道的美国NSA秘密研发的一款全球流量信息检索与分析系统——XKeyscore关键得分系统

该系统由美国NSA于2003年开始研发,2013年时由斯诺登公开,它基本上汇聚了前面ABC_123所介绍的那些流量监控系统采集的所有流量信息,经过处理和筛选存储在XKeyscore的分布在全球各地的分布式数据库中。美国NSA情报人员输入一个IP、用户名、邮箱、手机号或sessionId,就可以检索这个人的很多上网记录,包括个人账号密码、网络设备密码等等。

**建议大家把公众号“希潭实验室”设为星标,否则可能就看不到啦!**因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。

 Part2 XKeyscore关键得分系统 

  • 基本介绍

XKeyscore是美国国家安全局(NSA)开发的一个庞大的情报收集和分析系统,国内被翻译为“关键得分”系统,它也被称为美国NSA的谷歌搜索系统。它通过各种手段收集互联网上的海量信息,并提供便捷的图形用户界面,允许情报人员通过输入电子邮件地址、姓名、电话等身份识别关键字,对目标个人进行全面的信息检索、实时监控和实时网络追踪。该系统通常部署在Red Hat服务器上,使用Apache Web服务器并将收集到的数据存储在MySQL数据库中。

如下图所示,该系统提供了GUI操作界面,因而使用非常简单,很多场景下,只需要输入域名关键字、邮箱地址,点击回车键,就会将系统中的存有用户名密码显示出来,攻击瞬间就完成。美国NSA可以在一天之内完成对分析师使用XKeyscore系统的培训,培训内容还包括相关的法律和道德准则,每次搜索都是完全可审计的,以确保他们是正当使用并且符合法律规定,防止分析人员滥用此系统。

  • 全球分布式监控集群

如下图展示了XKeyscore系统在2008年时的全球分布图,在全球五大洲的多个国家建立了150个站点,这些国家包括美国、英国、日本、俄罗斯、墨西哥、巴西、西班牙、索马里、巴基斯坦、澳大利亚、尼日利亚等等,当年服务器规模已超过700台,共同组成一个分布式的信息处理和查询系统,通过大规模分布式计算机集群,极大增强了其数据存储和处理能力。

如下图所示,美国NSA泄露文档给出了XKeyscore的查询层次结构。当情报人员开始搜索的时候,查询任务会逐级下发到不同的地区的站点进行查询,然后将查询结果反馈回来。

  • XKeyscore流量数据来源

如图所示,泄露的文档展示了XKeyscore的流量数据来源,具体包括CIA/NSA特别收件服务(F6)、NSA监听项目(如“棱镜门”、MUSCULAR和INCENSER)、外国卫星数据(FORNSAT)、MARINA元数据存储库、TRAFFICTHIEF元数据存储库等。此外,美国NSA还借助XKeyscore系统与其他情报机构的合作获取其本国数据,例如德国情报部门曾向美国国家安全局提供德国公民的元数据,作为交换条件获得了XKeyscore系统的副本和部分XKeyscore系统的使用权限,宣称其用于分析本国公民数据。

此外,XKeyscore通过全球各个监听节点收集了大量流量记录,涵盖网络用户的谷歌搜索、网页浏览、社交媒体互动、在线PDF文档、僵尸网络流量,以及特定平台如Facebook聊天记录、雅虎搜索记录和Twitter互动等。它还获取网络用户名和密码、谷歌地图等应用中的个人身份信息、后门键盘记录,并监控数据传输与文件共享,包括上传下载的文件、网盘传输文件、广告流量分析。此外,XKeyscore关注中间件和系统安全,收集漏洞利用情况、浏览器版本、中间件指纹及操作系统版本信息。这些数据使得XKeyscore能够全面监控和分析全球网络活动和用户行为。

  • 网络流量采集及元数据索引构建

情报人员可以通过使用不同的插件(Email地址插件、文件提取插件、日志处理插件、HTTP解析器插件、电话号码插件、用户活动信息插件等)将网络用户的手机号、电子邮件地址、Log日志、用户活动信息建好索引存储在指定的数据库中。除此之外,还可以存储电子邮件内容、邮件附件、照片图片、聊天记录、语音视频、语音通话记录、VoIP通话数据、Skype会话、网络摄像头照片等等。

  • 网络电话VoIP与VPN流量的解密与存储

如下图所示,XKeyscore系统可以解密VoIP网络电话及部分VPN加密流量,并将流量解析还原存储在XKeyscore分布式数据库中进行分析,其技术实现原理后续再给大家讲解。

如下图所示,这是美国NSA的文档中讲解的关于VoIP监听的技术实现。

如下图所示,这是美国NSA的文档中讲解的关于VPN流量监听的技术实现(其实现原理后续再给大家分享)。

  • 监视欧洲盟友及各国政要

美国国家安全局(NSA)通过XKeyscore系统大规模监听欧洲政客的移动通信,包括电子邮件内容、电话语音、手机短信和社交媒体活动等信息。仅在2009年,就有122名外国领导人遭到美方的监听。俄罗斯、伊朗等被美国视为长期对手的国家,其领导人也成为NSA的监听目标。此外,一些国际组织的高级领导人,如联合国秘书长,亦被纳入监控范围。不仅如此,美国的重要合作伙伴新西兰政府也曾利用XKeyscore监视世界贸易组织总干事职位的候选人,并对所罗门群岛进行过大规模的间谍活动。据国外媒体报道,美国情报专家在XKeyscore的帮助下,在联合国秘书长潘基文与奥巴马总统正式会晤之前,成功获取到了会谈内容的要点。

  • 监视黑客组织及0day工具

黑客论坛同样是美国国家安全局(NSA)需要监视的目标之一。许多黑客在论坛中出售或使用各种黑客工具。NSA需要了解这些黑客的技术水平及其技术的获取途径。借助XKeyscore系统,NSA能够提取在网络中传输过的黑客工具及0day漏洞的POC。

  • 监控及追踪恐怖分子

XKeyscore是一种能够分析大量监视数据并识别可疑行为模式的系统。美国情报人员利用XKeyscore监视基地组织高级领导人的网络活动和电话通信。例如,美国特工曾使用该系统监视基地组织高级领导人本·拉登的心腹Shaykh Atiyatallah,获取了他的操作信息和搜索数据记录。根据NSA泄露的文档显示,该系统在2008年前帮助美国抓捕了300名恐怖分子。

 Part3 XKeyscore的使用案例 

  • 辅助美国及盟友网络入侵

XKeyscore系统可以展示某个国家或地区内所有存在漏洞、可被利用的网络设备。通过提供目标计算机系统的一些信息,如中间件版本、浏览器User-Agent痕迹、操作系统版本等,XKeyscore系统能够辅助美国国家安全局(NSA)的人员评估目标计算机系统的难易程度,并有针对性地实施远程漏洞利用。美国NSA曾与英国情报部门合作,通过APT渗透的方式获取某手机通信的加密密钥,从而劫持该手机用户流量,并向目标手机投放间谍软件以收集敏感数据。XKeyscore系统为APT成员提供了入侵该手机公司电子邮件的信息。

如下图所示,XKeyscore会对流量中的关键字段进行提取并进行索引,包括请求包和返回包,这些数据可以作为APT攻击前期的信息收集使用。

  • 查询网络设备的账号密码

根据美国NSA泄露的文档,美国NSA情报人员可以使用XKeyscore关键得分系统查询网络设备的账号密码,包括网络设备的配置文件,从而直接接管网络设备的权限。下面这张图片给出了其原理,部分网络设备是由telnet的23端口远程登录的,其整个过程是明文流量,因而美国NSA在全球各个监听节点可以抓取这些telnet的明文流量,将其账号密码截获。

借助XKeyscore关键得分系统,美国NSA情报人员可以输入路由器设备的IP地址和登录端口,如telnet的23端口进行查询。

点击搜索之后,XKeyscore系统显示出了其数据库记录的该设备的账号密码。

下面这张PPT展示了美国NSA情报人员通过XKeyscore系统,查看指定IP路由设备的配置文件内容。

  • 查询邮箱账号密码及邮件内容

如下图所示,PPT展示了美国NSA可以从网络流量的各个角落提取邮箱地址,从而关联并提取出该邮件的网络通信内容,暂存在后台数据库中。

如下图所示,美国NSA的情报人员通过输入指定的邮箱地址,从XKeyscore的分布式数据库中查询与查看私人邮箱内容信息。NSA 有一款名为"DNI Presenter"的工具,能够帮助情报人员更好地阅读邮件内容。

如ppt展示,成功从HTTP流量的POST数据中检索到指定邮箱的账号密码。

如ppt展示,成功从HTTP流量的Cookie内容中检索到指定邮箱的账号密码。

  • 查询Web网站的账号密码

如下所示,美国NSA的情报人员成功检索到指定用户的账号密码信息。

如下所示,美国NSA的情报人员成功检索到指定用户的账号密码信息。

  • 追踪个人浏览记录

借助XKeyscore关键得分系统,美国NSA的情报人员可以筛选出,在一周内的每天的指定时间段内,有哪些网络用户访问了目标网站。

如下所示,XKeyscore关键得分系统显示出了访问*.gov站点的网络用户,并可以定位到每一个用户个人。

  • 综合分析个人信息

借助XKeyscore关键得分系统,可以对指定的目标个人进行详细搜索与分析。

XKeyscore关键得分系统以图表形式详细展示了用户的访问记录。在每个以小时分割的时间段内,系统列出了用户访问的网站域名,同时还展示了Referer来源记录、流量中的文件文档以及邮箱记录等详细信息。。

  • 提取流量中的工具及文档附件

借助XKeyscore系统,指定想要搜索的pdf文档的属性、搜索类型为pdf,可以在全网流量中检索符合要求的pdf文档。

如下所示,美国NSA情报人员成功找到了指定的word文档,并可以从流量中分离出附件进行下载。

 Part4 总结 

1.  情报检索系统XKeyscore关键得分是美国NSA的主要的网络攻击武器之一,相关内容及技术实现非常繁杂,后续ABC_123继续给大家分享。

公众号专注于网络安全技术,包括安全咨询、APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,99%原创,敬请关注。

Contact me: 0day123abc#gmail.com

(replace # with @)

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2