TRC换ERC(www.u2u.it):美对西工大网袭技术细节公开 从/dev/tty中提取相关用户名密码

电报群搜索工具www.tel8.vip)是一个Telegram群组分享平台,电报群搜索工具包括电报群搜索工具、Telegram群组索引、Telegram群组导航、新加坡Telegram群组、Telegram中文群组、Telegram群组(其他)、Telegram 美国 群组、Telegram群组爬虫、电报群 科学上网、小飞机 怎么 加 群、tg群等内容。电报群搜索工具为广大电报用户提供各种电报群组/电报频道/电报机器人导航服务。

今天,国家计算机病毒应急中心发布《美国NSA网络武器“饮茶”分析报告》,详情如下:

一、概述

国家计算机病毒应急处理中心在对西北工业大学遭境外网络攻击事件进行调查过程中,在西北工业大学的网络服务器设备上发现了美国国家安全局(NSA)专用的网络武器“饮茶”(NSA命名为“suctionchar”)(参见我中心2022年9月5日发布的《西北工业大学遭美国NSA网络攻击事件调查报告(之一)》)。国家计算机病毒应急处理中心联合奇安信公司对该网络武器进行了技术分析,分析结果表明,该网络武器为“嗅探窃密类武器”,主要针对Unix/Linux平台,其主要功能是对目标主机上的远程访问账号密码进行窃取。

二、技术分析

经技术分析与研判,该网络武器针对Unix/Linux平台,与其他网络武器配合,攻击者可通过推送配置文件的方式控制该恶意软件执行特定窃密任务,该网络武器的主要目标是获取用户输入的各种用户名密码,包括SSH、TELNET、FTP和其他远程服务登录密码,也可根据配置窃取保存在其他位置的用户名密码信息。

该网络武器包含“验证模块(authenticate)”、“解密模块(decrypt)”、“解码模块(decode)”、“配置模块”、“间谍模块(agent)”等多个组成部分,其主要工作流程和技术分析结果如下:

(一)验证模块

验证模块的主要功能是在“饮茶”被调用前验证其调用者(父进程)的身份,随后进行解密、解码以加载其他恶意软件模块。如图1所示。

,

ERC换TRC,TRC换ERCwww.u2u.it)是最高效的ERC换TRC,TRC换ERC的平台.ERC20 USDT换TRC20 USDT,TRC20 USDT换ERC20 USDT链上匿名完成,手续费低。

,

(二)解密模块

解密模块是通用模块,可被其他模块调用对指定文件进行解密,采用了与NOPEN远控木马(参见《“NOPEN”远控木马分析报告》)类似的RSA+RC6加密算法。如图2所示。

(三)解码模块

与解密模块类似,解码模块也是通用模块,可以被其他模块调用对指定文件进行解码,但采用了自编码算法。如图3所示。

(四)配置模块

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。