Part1 前言
大家伙,我是ABC_123。2025年10月19日,国家互联网应急中心(CNCERT)通过分析研判和追踪溯源披露了美国国家安全局针对国家授时中心实施的网络入侵活动,引起大家的广泛关注与讨论,极大提升了大众对于国外设备的安全防御意识。最近ABC_123连续撰写了6篇关于美国"三角测量"行动的技术文章,ABC_123参考官方报告,对此APT事件的攻击流程重新梳理分享给大家;"未知攻、焉知防",提升大家日常安全运营及推国产化的安全意识(文末有技术交流群的加群方式)。
《第135篇:美国APT的苹果手机"三角测量"行动是如何被溯源发现的》
《第136篇:美国NSA的苹果手机"三角测量"后门的窃密模块分析 | 机器学习引擎识别照片信息》
《第137篇:揭秘美国NSA的苹果手机"三角测量"后门的隐匿手段》
《第138篇:俄罗斯卡巴斯基是如何发现美国iPhone手机"三角测量"攻击的 》
《第139篇:美国苹果手机"三角测量"验证器后门样本及0day漏洞是如何被捕捉到的》
Part2 技术研究过程
首先放出一张ABC_123重新绘制的此次APT攻击事件的流程图。美国NSA利用"三角测量"行动首先入侵苹果手机,然后窃取手机中的账密,进而获取授时中心计算机终端的登录凭证,进而获取控制权限,部署定制化特种网攻武器,并针对授时中心网络环境不断升级网攻武器,进一步扩大网攻窃密范围,以达到对该单位内部网络及关键信息系统长期渗透窃密的目的。
攻击者在此次网络攻击事件中使用的网攻武器、功能模块、恶意文件等总计42款,主要网攻武器按照功能可分为前哨控守类武器("eHome_0cx")、隧道搭建类武器("Back_eleven")、数据窃取类武器("New_Dsz_Implant"),以境外网络资产作为主控端控制服务器。攻击者使用的3款网攻武器均采用2层加密方式,外层使用 TLS 协议加密,内层使用RSA+AES方式进行密钥协商和加密,在窃密数据传输、功能模块下发等关键阶段,各武器的相互配合实现了4层嵌套加密。此种多层嵌套数据加密模式与相比于方程式工具包的 "NOPEN" 后门使用的 RSA+RC6 加密模式有了明显升级。
1. 通过"零点击"漏洞入侵工作人员苹果手机
自2022年3月24日至2023年4月11日,美国国家安全局 NSA 通过代号为"三角测量"(Triangulation)的网络攻击行动,利用苹果iMessage服务中存在的零点击(0-click)0day漏洞,对国家授时中心多名工作人员实施秘密监控及数据窃取。攻击者在未触发任何用户交互的情况下,非法获取受害者手机中的通讯录、短信、照片、地理位置信息等敏感数据。
2022年9月,攻击者进一步通过授时中心网络管理员使用的某国外品牌手机,成功获取其办公计算机登录凭证,并利用该凭证实现对办公计算机的远程控制。
2. 窃取账密控制终端并探测内部网络
2023年4月11日至8月3日期间,攻击者多次于北京时间凌晨,利用此前在苹果手机中窃取的登录凭证,远程入侵国家授时中心办公计算机,对内部网络环境进行持续性侦察与信息收集。攻击过程中,攻击者通过匿名通信网络节点共发起80余次远程登录,并以被控制计算机为跳板,刺探授时中心的网络架构与系统部署情况。
3. 植入Back_eleven工具关闭杀软实施渗透活动
2023年8月至2024年6月期间,美国NSA继续对国家授时中心实施网络攻击,利用新型网络作战平台对多个内部业务系统开展渗透活动。攻击者企图进一步扩展入侵范围,企图对高精度地基授时导航系统等重大科技基础设施实施攻击,严重威胁国家关键信息基础设施安全。
2023年8月3日至2024年3月24日期间,攻击者在国家授时中心网管计算机中植入了早期版本的恶意程序 "Back_eleven",用于窃取主机数据。为规避检测,攻击者在每次攻击结束后清除网络攻击武器内存占用和操作痕迹。由于该阶段 "Back_eleven" 功能尚不成熟,攻击者在每次启动程序前需远程关闭主机的杀毒软件。
4. 加载"前哨控守"eHome_0cx攻击武器
2024年3月至4月,攻击者针对授时中心的网络环境对其网络作战武器进行定制化升级,植入多款新型恶意载荷以实现长期驻留与隐蔽控制。攻击者先后加载并使用了 "eHome_0cx"、"Back_eleven"、"New_Dsz_Implant" 等工具,配套部署了20余款功能模块及10余个攻击配置文件,用以满足不同横向移动与数据窃取需求。如下图所示,加载 "eHome_0cx" 数据包。
攻击者利用该类网络作战武器的隐蔽驻留与心跳回连机制,实现了对目标终端的长期控守并按需下发后续攻击载荷。基于其资源加载路径特征,这里将其主控程序命名为"eHome_0cx"。该工具由四个核心模块组成,通过对系统合法服务(如资源管理器、事件日志服务)实施 DLL 劫持实现自启动;在运行过程中,程序会清除内存中可执行文件头等痕迹、以隐藏网攻武器运行痕迹,从而提升隐蔽性、持久性与横向扩展能力。如下图所示:表 "eHome_0cx" 各网攻模块信息表:
"eHome_0cx"以受控主机唯一标识guid作为解密武器资源的密钥,各模块间通过本地进程间通信(LPC)端口通信,并以指令号的方式调用该武器的各项功能。"eHome_0cx" 使用RSA算法和TLS协议完成通信加密,内置有与主控端通信使用的RSA公钥,每次会话先随机生成一次性会话密钥并通过 RSA 完成密钥交换,随后在会话中使用 TLS 协议并以该会话密钥加密传输的数据,从而同时保证机密性与抗中间人防护。
"eHome_0cx"的部分驻留文件通过修改注册表InprocServer32键值的方式,劫持了系统正常服务,在系统正常程序启动前加载实现自启动。注册表修改位置与NSA“方程式组织”所使用网攻武器相同,均位于HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID下随机ID项的InProcServer32子项。
5. 内存加载Back_Eleven搭建代理隧道
2024年5月至6月,攻击者利用 "Back_eleven" 以网管计算机为跳板,攻击上网认证服务器和防火墙。
2024年6月13日9时,攻击者激活网管计算机上的 "eHome_0cx" ,植入 "Back_eleven" "New_Dsz_Implant",并以此为跳板窃取认证服务器数据。
"Back_Eleven" 由 "eHome_0cx" 加载运行,在初始连接阶段向主控端发送带有数字“11”标识。具有严格运行环境检测机制,若发现运行环境系统版本异常、调试程序正在运行等情况,将启动自删除功能。并且该武器在设计时加入了反调试功能,以防止被逆向分析。攻击者利用Back_Eleven搭建网络通信和数据传输隧道,实现了对其他类型网络攻击武器的远程控制和窃密数据的加密传输,同时还具备信息获取和命令执行功能。
" Back_Eleven "具有主动回连和被动监听两种工作模式:在主动回连模式下," Back_Eleven" 解密内置的主控端控制服务器IP地址,并使用内置的RSA加密算法公钥完成密钥交换,然后使用AES算法将上线信息加密后,利用TLS协议加密传输到主控端;在被动监听模式下, "Back_Eleven" 通过监听Windows系统网卡流量,筛选主控端发送的特定条件数据包,实现主控端命令执行。如下图所示:"Back_Eleven" 以指令号的方式调用该武器的各项功能。
6. 内存加载New_Dsz_Implant数据窃取类工具
7月13日9时,攻击者激活网管计算机上的 "eHome_0cx",下发 "Back_eleven" 和 "New_Dsz_Implant" 窃取数据。
攻击者利用网络攻击武器"New-Dsz-Implant"进行数据窃密,通过接收主控端指令加载不同的模块实现具体功能,其实现方式与NSA武器库中 "DanderSpritz" 网攻平台一致,且在代码细节上具有高度同源性,各功能模块增加了模拟用户操作函数,伪装用户点击、登录等正常行为以迷惑杀毒软件的检测。该武器由 "eHome_0cx" 加载运行,在攻击活动中配合 "Back_Eleven" 所搭建的数据传输链路使用。本次网攻事件中,攻击者使用 "New-Dsz-Implant" 加载了25个功能模块,各模块功能情况如下表所示:
如图所示,"New-Dsz-Implant"在与主控端通信前先对载荷进行压缩,随后进行一层 AES 对称加密并基于 TLS1.2 建立会话(构成压缩 → AES → TLS1.2 的内层保护);随后流量通过本地回环交由Back_Eleven隧道处理,Back_Eleven在隧道出口先再施加一层 AES 加密并以 TLS1.3 封装外层通道。最终形成压缩 → AES → TLS1.2 → AES → TLS1.3的4层嵌套保护链路,其中New-Dsz-Implant提供内层的压缩/AES/TLS1.2 保护,Back_Eleven提供外层的 AES 与 TLS1.3 封装,从而显著提升传输链路的机密性与抗检测能力。
如下图所示,本地回环通信数据包。Source(源) 和 Destination(目的) 地址均为 127.0.0.1,Protocol(协议) 栏多次出现 TCP 和 TLSv1.2,这说明通信双方都在同一主机上进行数据交互,即走的 loopback 接口(本地回环接口)。说明New-Dsz-Implant 和 Back_Eleven 之间通过回环端口转发流量。
攻击者利用多款网络攻击武器相互配合,搭建起4层加密隧道,形成隐蔽性极强且功能完善的网攻窃密平台。
Part3 总结
1. 隐匿实施攻击。美国NSA通过使用正常业务数字证书、伪装Windows系统模块、代理网络通信等方式隐蔽其攻击窃密行为,同时对杀毒软件机制的深入研究,可使其有效避免检测;
2. 通讯多层加密。美国NSA使用网攻武器构建回环嵌套加密模式,加密强度远超常规TLS通讯,通信流量更加难以解密还原;
3. 活动耐心谨慎。在整个活动周期,美国NSA会对受控主机进行全面监控,文件变动、关机重启都会导致其全面排查异常原因;
4. 功能动态扩展。美国NSA会根据目标环境,动态组合不同网攻武器功能模块进行下发,表明其统一攻击平台具备灵活的可扩展性和目标适配能力。但其整体创新性缺失和部分环节乏力,显示出在被各类曝光事件围追堵截后,技术迭代升级面临瓶颈困境。
5. 为了便于技术交流,现已建立微信群"希水涵-信安技术交流群",欢迎您的加入。
公众号专注于网络安全技术分享,包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,每周一篇,99%原创,敬请关注。
Contact me: 0day123abc#gmail.com
OR 2332887682#qq.com
(replace # with @)