1 月 17 日消息，國家互聯(lián)網(wǎng)應急中心剛剛發(fā)布了《美網(wǎng)絡攻擊我國某先進材料設計研究院事件調查報告》，附原文如下：

2024 年 12 月 18 日，國家互聯(lián)網(wǎng)應急中心 CNCERT 發(fā)布公告，發(fā)現(xiàn)處置兩起美對我大型科技企業(yè)機構網(wǎng)絡攻擊事件。本報告將公布對其中我國某先進材料設計研究院的網(wǎng)絡攻擊詳情，為全球相關國家、單位有效發(fā)現(xiàn)和防范美網(wǎng)絡攻擊行為提供借鑒。

一、網(wǎng)絡攻擊流程

（一）利用漏洞進行攻擊入侵

2024 年 8 月 19 日，攻擊者利用該單位電子文件系統(tǒng)注入漏洞入侵該系統(tǒng)，并竊取了該系統(tǒng)管理員賬號 / 密碼信息。2024 年 8 月 21 日，攻擊者利用竊取的管理員賬號 / 密碼登錄被攻擊系統(tǒng)的管理后臺。

（二）軟件升級管理服務器被植入后門和木馬程序 2024 年 8 月 21 日 12 時，攻擊者在該電子文件系統(tǒng)中部署了后門程序和接收被竊數(shù)據(jù)的定制化木馬程序。

為逃避檢測，這些惡意程序僅存在于內存中，不在硬盤上存儲。木馬程序用于接收從涉事單位被控個人計算機上竊取的敏感文件，訪問路徑為 / xxx / xxxx?flag=syn_user_policy。后門程序用于將竊取的敏感文件聚合后傳輸?shù)骄惩?，訪問路徑是 / xxx / xxxStats。

（三）大范圍個人主機電腦被植入木馬

2024 年 11 月 6 日、2024 年 11 月 8 日和 2024 年 11 月 16 日，攻擊者利用電子文檔服務器的某軟件升級功能將特種木馬程序植入到該單位 276 臺主機中。

木馬程序的主要功能一是掃描被植入主機的敏感文件進行竊取。二是竊取受攻擊者的登錄賬密等其他個人信息。木馬程序即用即刪。

二、竊取大量商業(yè)秘密信息

（一）全盤掃描受害單位主機

攻擊者多次用中國境內 IP 跳板登錄到軟件升級管理服務器，并利用該服務器入侵受害單位內網(wǎng)主機，并對該單位內網(wǎng)主機硬盤反復進行全盤掃描，發(fā)現(xiàn)潛在攻擊目標，掌握該單位工作內容。

（二）目的明確地針對性竊取 2024 年 11 月 6 日至 11 月 16 日，攻擊者利用 3 個不同的跳板 IP 三次入侵該軟件升級管理服務器，向個人主機植入木馬，這些木馬已內置與受害單位工作內容高度相關的特定關鍵詞，搜索到包含特定關鍵詞的文件后即將相應文件竊取并傳輸至境外。這三次竊密活動使用的關鍵詞均不相同，顯示出攻擊者每次攻擊前均作了精心準備，具有很強的針對性。三次竊密行為共竊取重要商業(yè)信息、知識產(chǎn)權文件共 4.98GB。

三、攻擊行為特點

（一）攻擊時間

分析發(fā)現(xiàn)，此次攻擊時間主要集中在北京時間 22 時至次日 8 時，相對于美國東部時間為白天時間 10 時至 20 時，攻擊時間主要分布在美國時間的星期一至星期五，在美國主要節(jié)假日未出現(xiàn)攻擊行為。

（二）攻擊資源

攻擊者使用的 5 個跳板 IP 完全不重復，位于德國和羅馬尼亞等地，反映出其高度的反溯源意識和豐富的攻擊資源儲備。

（三）攻擊武器一是善于利用開源或通用工具偽裝躲避溯源，此次在涉事單位服務器中發(fā)現(xiàn)的后門程序為開源通用后門工具。攻擊者為了避免被溯源，大量使用開源或通用攻擊工具。

二是重要后門和木馬程序僅在內存中運行，不在硬盤中存儲，大大提升了其攻擊行為被我分析發(fā)現(xiàn)的難度。

（四）攻擊手法

攻擊者攻擊該單位電子文件系統(tǒng)服務器后，篡改了該系統(tǒng)的客戶端分發(fā)程序，通過軟件客戶端升級功能，向 276 臺個人主機投遞木馬程序，快速、精準攻擊重要用戶，大肆進行信息搜集和竊取。以上攻擊手法充分顯示出該攻擊組織的強大攻擊能力。

四、部分跳板 IP 列表

除此之外，國家互聯(lián)網(wǎng)應急中心還發(fā)布了《美網(wǎng)絡攻擊我國某智慧能源和數(shù)字信息大型高科技企業(yè)事件調查報告》

2024 年 12 月 18 日，國家互聯(lián)網(wǎng)應急中心 CNCERT 發(fā)布公告，發(fā)現(xiàn)處置兩起美對我大型科技企業(yè)機構網(wǎng)絡攻擊事件。本報告將公布對其中我國某智慧能源和數(shù)字信息大型高科技企業(yè)的網(wǎng)絡攻擊詳情，為全球相關國家、單位有效發(fā)現(xiàn)和防范美網(wǎng)絡攻擊行為提供借鑒。

一、網(wǎng)絡攻擊流程

（一）利用郵件服務器漏洞進行入侵

該公司郵件服務器使用微軟 Exchange 郵件系統(tǒng)。攻擊者利用 2 個微軟 Exchange 漏洞進行攻擊，首先利用某任意用戶偽造漏洞針對特定賬戶進行攻擊，然后利用某反序列化漏洞再次進行攻擊，達到執(zhí)行任意代碼的目標。

（二）在郵件服務器植入高度隱蔽的內存木馬為避免被發(fā)現(xiàn)，攻擊者在郵件服務器中植入了 2 個攻擊武器，僅在內存中運行，不在硬盤存儲。其利用了虛擬化技術，虛擬的訪問路徑為 / owa / auth / xxx / xx.aspx 和 / owa / auth / xxx / yy.aspx，攻擊武器主要功能包括敏感信息竊取、命令執(zhí)行以及內網(wǎng)穿透等。內網(wǎng)穿透程序通過混淆來逃避安全軟件檢測，將攻擊者流量轉發(fā)給其他目標設備，達到攻擊內網(wǎng)其他設備的目的。

（三）對內網(wǎng) 30 余臺重要設備發(fā)起攻擊

攻擊者以郵件服務器為跳板，利用內網(wǎng)掃描和滲透手段，在內網(wǎng)中建立隱蔽的加密傳輸隧道，通過 SSH、SMB 等方式登錄控制該公司的 30 余臺重要設備并竊取數(shù)據(jù)。包括個人計算機、服務器和網(wǎng)絡設備等；被控服務器包括，郵件服務器、辦公系統(tǒng)服務器、代碼管理服務器、測試服務器、開發(fā)管理服務器和文件管理服務器等。為實現(xiàn)持久控制，攻擊者在相關服務器以及網(wǎng)絡管理員計算機中植入了能夠建立 websocket+SSH 隧道的攻擊竊密武器，實現(xiàn)了對攻擊者指令的隱蔽轉發(fā)和數(shù)據(jù)竊取。為避免被發(fā)現(xiàn)，該攻擊竊密程序偽裝成微信相關程序 WeChatxxxxxxxx.exe。攻擊者還在受害服務器中植入了 2 個利用 PIPE 管道進行進程間通信的模塊化惡意程序，實現(xiàn)了通信管道的搭建。

二、竊取大量商業(yè)秘密信息

（一）竊取大量敏感郵件數(shù)據(jù)

攻擊者利用郵件服務器管理員賬號執(zhí)行了郵件導出操作，竊密目標主要是該公司高層管理人員以及重要部門人員。攻擊者執(zhí)行導出命令時設置了導出郵件的時間區(qū)間，有些賬號郵件全部導出，郵件很多的賬號按指定時間區(qū)間導出，以減少竊密數(shù)據(jù)傳輸量，降低被發(fā)現(xiàn)風險。

（二）竊取核心網(wǎng)絡設備賬號及配置信息攻擊者通過攻擊控制該公司 3 名網(wǎng)絡管理員計算機，頻繁竊取該公司核心網(wǎng)絡設備賬號及配置信息。例如，2023 年 5 月 2 日，攻擊者以位于德國的代理服務器（95.179.XX.XX）為跳板，入侵了該公司郵件服務器后，以郵件服務器為跳板，攻擊了該公司網(wǎng)絡管理員計算機，并竊取了“網(wǎng)絡核心設備配置表”、“核心網(wǎng)絡設備配置備份及巡檢”、“網(wǎng)絡拓撲”、“機房交換機（核心 + 匯聚）”、“運營商 IP 地址統(tǒng)計”、“關于采購互聯(lián)網(wǎng)控制網(wǎng)關的請示”等敏感文件。

（三）竊取項目管理文件攻擊者通過對該公司的代碼服務器、開發(fā)服務器等進行攻擊，頻繁竊取該公司相關開發(fā)項目數(shù)據(jù)。例如，2023 年 7 月 26 日，攻擊者以位于芬蘭的代理服務器（65.21.XX.XX）為跳板，攻擊控制該公司的郵件服務器后，又以此為跳板，頻繁訪問在該公司代碼服務器中已植入的后門攻擊武器，竊取數(shù)據(jù)達 1.03GB。為避免被發(fā)現(xiàn)，該后門程序偽裝成開源項目“禪道”中的文件“tip4XXXXXXXX.php”。

（四）清除攻擊痕跡并進行反取證分析為避免被發(fā)現(xiàn)，攻擊者每次攻擊后，都會清除計算機日志中攻擊痕跡，并刪除攻擊竊密過程中產(chǎn)生的臨時打包文件。攻擊者還會查看系統(tǒng)審計日志、歷史命令記錄、SSH 相關配置等，意圖分析機器被取證情況，對抗網(wǎng)絡安全檢測。

三、攻擊行為特點

（一）攻擊時間

分析發(fā)現(xiàn)，此次攻擊活動主要集中在北京時間 22 時至次日 8 時，相對于美國東部時間為白天 10 時至 20 時，攻擊時間主要分布在美國時間的星期一至星期五，在美國主要節(jié)假日未出現(xiàn)攻擊行為。

（二）攻擊資源

2023 年 5 月至 2023 年 10 月，攻擊者發(fā)起了 30 余次網(wǎng)絡攻擊，攻擊者使用的境外跳板 IP 基本不重復，反映出其高度的反溯源意識和豐富的攻擊資源儲備。

（三）攻擊武器攻擊者植入的 2 個用于 PIPE 管道進程通信的模塊化惡意程序位于“c:\\windows\\system32\\”下，使用了.net 框架，編譯時間均被抹除，大小為數(shù)十 KB，以 TLS 加密為主。郵件服務器內存中植入的攻擊武器主要功能包括敏感信息竊取、命令執(zhí)行以及內網(wǎng)穿透等。在相關服務器以及網(wǎng)絡管理員計算機中植入的攻擊竊密武器，使用 https 協(xié)議，可以建立 websocket+SSH 隧道，會回連攻擊者控制的某域名。

四、部分跳板 IP 列表