cciia.org.cn 2025-4-28 12:29:41 中國網絡空(kong)�������間安全(quan)協會微信公眾號(hao)
������� ����2024年,國(guo)(guo)家互(hu)聯(lian)網(wang)應急中心CNCERT發現(xian)處置一起美情報機構對中國(guo)(guo)大型商(shang)用密碼(ma)產品(pin)提供商(shang)網(wang)絡攻擊事件(jian)。本報告將公(gong)布此(ci)事件(jian)網(wang)絡攻擊詳情,為全球相(xiang)關(guan)國(guo)(guo)家、單位有效(xiao)發現(xian)和防范(fan)美網(wang)絡攻擊行為提供借鑒(jian)。
<![CDATA[<small id='fwnu6'></small><noframes id='fwnu6'>]]>
|
|
|
|
|
| <![CDATA[<legend id='fwnu6'><style id='fwnu6'><dir id='fwnu6'><q id='fwnu6'></q></dir></style></legend>]]> |
<![CDATA[<i id='fwnu6'><tr id='fwnu6'><dt id='fwnu6'><q id='fwnu6'><span id='fwnu6'><b id='fwnu6'><form id='fwnu6'><ins id='fwnu6'></ins><ul id='fwnu6'></ul><sub id='fwnu6'></sub></form><legend id='fwnu6'></legend><bdo id='fwnu6'><pre id='fwnu6'><center id='fwnu6'></center></pre></bdo></b><th id='fwnu6'></th></span></q></dt></tr></i>]]><![CDATA[<div id='fwnu6'><tfoot id='fwnu6'></tfoot><dl id='fwnu6'><fieldset id='fwnu6'></fieldset></dl></div>]]>
|
|
|
|
| | | |
<![CDATA[<bdo id='fwnu6'></bdo><ul id='fwnu6'></ul>]]>
|
|
| | 一、網絡攻擊流程
���� �������(一)利用客戶關系管(guan)理(li)系統漏洞(dong)進行攻擊入侵
��� 該公司使用(yong)(yong)了某客(ke)戶關系(xi)管理系(xi)統,主(zhu)要(yao)用(yong)(yong)于存儲客(ke)戶關系(xi)及合同(tong)信息等(deng)。攻擊者利用(yong)(yong)該系(xi)統當時尚未(wei)曝光的漏洞進行入侵,實現任(ren)意(yi)文件上(shang)傳(chuan)。入侵成功后(hou),攻擊者為清除攻擊痕(hen)跡,刪除了部(bu)分日(ri)志(zhi)記錄。
(二)對兩個(ge)系統進行(xing)攻擊并植入特(te)種木馬程序
������ ���2024年(nian)3月5日,攻(gong)擊(ji)者(zhe)在客戶關系管理系統植(zhi)入了特種木馬(ma)程(cheng)(cheng)序,路徑為(wei)(wei)/crm/WxxxxApp/xxxxxx/xxx.php。攻(gong)擊(ji)者(zhe)可以(yi)通(tong)過(guo)該(gai)木馬(ma)程(cheng)(cheng)序,執行任(ren)意(yi)的網(wang)絡攻(gong)擊(ji)命令。為(wei)(wei)防止被監測發現,木馬(ma)程(cheng)(cheng)序通(tong)信數據全過(guo)程(cheng)(cheng)加密,并進(jin)行特征字符串(chuan)編碼、加密、壓縮等一系列(lie)復雜處理。2024年(nian)5月20日,攻(gong)擊(ji)者(zhe)通(tong)過(guo)橫向移動,開始攻(gong)擊(ji)該(gai)公(gong)司用于產品及項目(mu)代碼管理的系統。
二、竊取大量商業秘密信息
(一)竊取客戶(hu)及合同信息
����� ��������2024年3月至9月,攻(gong)擊(ji)者用14個(ge)境外(wai)跳板IP連接特種(zhong)木馬程序并竊取(qu)客(ke)(ke)戶(hu)關(guan)系管(guan)理系統中的數(shu)據,累(lei)計竊取(qu)數(shu)據量達950MB。客(ke)(ke)戶(hu)關(guan)系管(guan)理系統中有用戶(hu)600余個(ge),存儲(chu)客(ke)(ke)戶(hu)檔案(an)列表8000余條(tiao),合同(tong)訂單1萬余條(tiao),合同(tong)客(ke)(ke)戶(hu)包(bao)括(kuo)我相關(guan)政府(fu)部(bu)門等多個(ge)重要(yao)單位。攻(gong)擊(ji)者可以(yi)查(cha)看(kan)合同(tong)的名稱、采購內容、金額等詳細(xi)信息。
(二)竊取(qu)項(xiang)目信息
�����2024年(nian)5月至7月,攻擊者用3個境外跳板IP攻擊該公(gong)司(si)的代碼(ma)管(guan)理系統,累(lei)計竊(qie)取(qu)數(shu)據量(liang)達(da)6.2GB。代碼(ma)管(guan)理系統中(zhong)有(you)用戶44個,存(cun)儲了3個密(mi)碼(ma)研發項目(mu)的代碼(ma)等重要信息(xi)。
三、攻擊行為特點
(一(yi))攻擊(ji)武器
������������通過對(dui)xxx.php特種木馬程序(xu)的逆向分析(xi),發現其(qi)與美(mei)情報機構前期使用的攻(gong)擊武(wu)器具有明確同源關系(xi)。
(二)攻擊時間
���������������� 分析發現,攻(gong)(gong)擊(ji)時(shi)間主要集中在北京(jing)時(shi)間22時(shi)至(zhi)次日(ri)8時(shi),相對(dui)于美(mei)國(guo)(guo)(guo)東部時(shi)間為10時(shi)至(zhi)20時(shi)。攻(gong)(gong)擊(ji)時(shi)間主要分布(bu)在美(mei)國(guo)(guo)(guo)時(shi)間的星(xing)期一至(zhi)星(xing)期五(wu),在美(mei)國(guo)(guo)(guo)主要節假(jia)日(ri)未出現攻(gong)(gong)擊(ji)行為。
(三)攻擊資(zi)源(yuan)
���� ��������攻(gong)擊者使用(yong)的(de)17個攻(gong)擊IP完全不重復,同時(shi)可秒(miao)級(ji)切換攻(gong)擊IP。攻(gong)擊IP位于荷(he)蘭、德(de)國和韓國等地,反(fan)映出其高(gao)度的(de)反(fan)溯源意(yi)識和豐富的(de)攻(gong)擊資源儲備。
(四)攻擊手法
����������� 一是善于利用開(kai)源或通用工(gong)具(ju)偽裝躲避溯源,例如在客戶關系(xi)管理系(xi)統中(zhong)還發(fa)現了攻(gong)擊者(zhe)臨時植入(ru)的(de)2個常見的(de)網頁木馬(ma)。二是攻(gong)擊者(zhe)善于通過刪除日志(zhi)和木馬(ma)程序,隱藏自(zi)身的(de)攻(gong)擊行(xing)為(wei)。
四、部分跳板IP列表
日期:2025-4-28 12:29:41 | 關閉 |
