2024年�,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)現(xiàn)處置一起美情報(bào)機(jī)構(gòu)對(duì)中國(guó)大型商用密碼產(chǎn)品提供商網(wǎng)絡(luò)攻擊事件。本報(bào)告將公布此事件網(wǎng)絡(luò)攻擊詳情�,為全球相關(guān)國(guó)家、單位有效發(fā)現(xiàn)和防範(fàn)美網(wǎng)絡(luò)攻擊行為提供借鑑��。
一���、網(wǎng)絡(luò)攻擊流程
?����。ㄒ唬├每蛻絷P(guān)係管理系統(tǒng)漏洞進(jìn)行攻擊入侵
該公司使用了某客戶關(guān)係管理系統(tǒng)�����,主要用於存儲(chǔ)客戶關(guān)係及合同信息等�����。攻擊者利用該系統(tǒng)當(dāng)時(shí)尚未曝光的漏洞進(jìn)行入侵�����,實(shí)現(xiàn)任意文件上傳�����。入侵成功後�����,攻擊者為清除攻擊痕跡���,刪除了部分日誌記錄����。
?(二)對(duì)兩個(gè)系統(tǒng)進(jìn)行攻擊並植入特種木馬程序
2024年3月5日,攻擊者在客戶關(guān)係管理系統(tǒng)植入了特種木馬程序�,路徑為/crm/WxxxxApp/xxxxxx/xxx.php。攻擊者可以通過該木馬程序���,執(zhí)行任意的網(wǎng)絡(luò)攻擊命令。為防止被監(jiān)測(cè)發(fā)現(xiàn)���,木馬程序通信數(shù)據(jù)全過程加密�,並進(jìn)行特徵字符串編碼��、加密�、壓縮等一系列複雜處理。2024年5月20日�����,攻擊者通過橫向移動(dòng)��,開始攻擊該公司用於產(chǎn)品及項(xiàng)目代碼管理的系統(tǒng)���。
二����、竊取大量商業(yè)秘密信息
(一)竊取客戶及合同信息
2024年3月至9月�,攻擊者用14個(gè)境外跳板IP連接特種木馬程序並竊取客戶關(guān)係管理系統(tǒng)中的數(shù)據(jù),累計(jì)竊取數(shù)據(jù)量達(dá)950MB��?��?蛻絷P(guān)係管理系統(tǒng)中有用戶600餘個(gè)����,存儲(chǔ)客戶檔案列表8000餘條��,合同訂單1萬餘條���,合同客戶包括我相關(guān)政府部門等多個(gè)重要單位�����。攻擊者可以查看合同的名稱�、採(cǎi)購(gòu)內(nèi)容��、金額等詳細(xì)信息�����。
(二)竊取項(xiàng)目信息
2024年5月至7月���,攻擊者用3個(gè)境外跳板IP攻擊該公司的代碼管理系統(tǒng)����,累計(jì)竊取數(shù)據(jù)量達(dá)6.2GB�����。代碼管理系統(tǒng)中有用戶44個(gè)���,存儲(chǔ)了3個(gè)密碼研發(fā)項(xiàng)目的代碼等重要信息。
三�����、攻擊行為特點(diǎn)
?�。ㄒ唬┕粑淦?/p>
通過對(duì)xxx.php特種木馬程序的逆向分析�����,發(fā)現(xiàn)其與美情報(bào)機(jī)構(gòu)前期使用的攻擊武器具有明確同源關(guān)係。
?��。ǘ┕魰r(shí)間
分析發(fā)現(xiàn)���,攻擊時(shí)間主要集中在北京時(shí)間22時(shí)至次日8時(shí),相對(duì)於美國(guó)東部時(shí)間為10時(shí)至20時(shí)����。攻擊時(shí)間主要分布在美國(guó)時(shí)間的星期一至星期五,在美國(guó)主要節(jié)假日未出現(xiàn)攻擊行為��。
?����。ㄈ┕糍Y源
攻擊者使用的17個(gè)攻擊IP完全不重複����,同時(shí)可秒級(jí)切換攻擊IP。攻擊IP位於荷蘭�����、德國(guó)和韓國(guó)等地�,反映出其高度的反溯源意識(shí)和豐富的攻擊資源儲(chǔ)備���。
(四)攻擊手法
一是善於利用開源或通用工具偽裝躲避溯源����,例如在客戶關(guān)係管理系統(tǒng)中還發(fā)現(xiàn)了攻擊者臨時(shí)植入的2個(gè)常見的網(wǎng)頁木馬。二是攻擊者善於通過刪除日誌和木馬程序����,隱藏自身的攻擊行為。
四�、部分跳板IP列表
