Part1 前言
大家好,我是ABC_123。根据国外泄露的资料显示,美国NSA在全球范围搭建了一整套流量监控系统,一旦发现有价值的目标,结合各种量子注入攻击手法,可以劫持全世界任意地区上网用户的网页浏览流量,然后使用浏览器级别0day漏洞向目标用户的电脑植入后门程序。本期ABC_123就给大家讲解一下美国APT的全球网络监听系统,由于整个系统非常复杂,本篇文章着重介绍该监听系统的两个重要组成部分:Turmoil(混乱)和Turbine(涡轮)系统。
注:关于美国APT的量子注入攻击手法,ABC_123曾在《第63篇:美国NSA量子注入攻击的流量特征及检测方法》一文中介绍过,这是量子注入攻击实现的一种方式。
关于美国APT的酸狐狸攻击平台,ABC_123曾在《第58篇:美国安全局NSA入侵西北工业大学流程图梳理和分析》一文中介绍过。
Part2 技术研究过程
首先看一张ABC_123根据国外资料绘制的使用Turmoil混乱与Turbine涡轮进行量子注入攻击的示意图,为了使读者能够更加清晰地理解这张图,本文会首先对Turmoil系统与Turbine系统进行介绍,文末会对完整的监听过程进行详细描述。
-
Turmoil被动监听系统
Turmoil在国内文章被翻译为“混乱”,是美国NSA研发的一种被动情报收集系统,由分布在全球各个网络关键节点的数据监视传感器组成。Turmoil通过被动监听的方式,持续不断地监视和采集全球网络中传输的各种敏感数据。根据泄露的资料显示,Turmoil在数据包层面上进行操作,以极高的性能完成流量的高速解码和条件匹配,结合特殊技术手段可以解密和分析部分VPN和VoIP加密流量。Turmoil提供了很多“分拣器(Selector)”,这些分拣器用于筛选目标用户是否在使用谷歌、雅虎、脸书、skype等,操作人员可以根据这些分拣器对互联网流量中有价值的数据信息进行识别和筛选,一旦识别到重要的目标,将会触发Turbine涡轮系统进行下一步操作。
图中的PPT中的绿色圆圈,标注了美国APT分部在全球不同位置的Turmoil监听节点,Turmoil除了可以监听互联网通信流量以外,还可以监听卫星通讯、微波通信、海底光缆等流量,功能非常强大。图中的MHS据推测指的是Menwith Hill,这是英国的曼维斯山军事基地,这个基地以完善的卫星地面站和情报收集活动而闻名,是美国国家安全局NSA以及英国政府通信总部GCHQ的一个重要的监听站点,也是“TURMOIL”监听网络的重要组成部分。
-
XKEYSCORE关键得分系统
XKeyscore国内翻译为“关键得分”,早在2008年就已经投入使用,是美国NSA研发的功能非常强大的情报分析系统,也可以理解为一个强大的数据库,由部署在全球各个节点的Linux集群构成。美国APT工作人员可以使用XKeyscore完成各种操作:查找与犯罪事件、间谍事件相关联的人员信息,比如使用语言不是所在地区的人、使用加密通信技术的人、搜索网络中可疑的犯罪分子;通过用户名、域名对会话中的所有Email地址进行检索;通过文件名、扩展名对会话中的文件进行提取;索引客户端HTTP流量进行跟踪;索引会话中用户的电话号;索引用户的聊天记录、在线好友、特定Cookies等。
TURMOIL只处理网络数据包,而不处理会话信息,它会筛选出有价值的网络数据包转发给XKEYSCORE进行存储,XKEYSCORE会将这些数据包进行会话化处理,并通过XKS 界面为NSA人员提供分析和搜索的功能,从而实现对网络空间攻击目标的发现与确定。美国曾经通过XKeyscore系统生成的情报,成功抓捕了300多名恐怖分子。关于XKEYSCORE系统,后续ABC_123会专门写文章介绍。
-
TURBINE任务逻辑控制系统
Turbine是主动数据窃取系统,通常与Turmoil(混乱)系统协作,主要功能为将恶意软件植入目标机器。当Turbine接收到Turmoil系统的消息通知,首先会对Turmoil提交的内容作进一步判定,如果判定是重要目标,会在一秒钟内将流量转发到美国TAO的网络节点(如部署在互联网骨干节点的酸狐狸0day攻击平台),使用不同的量子注入攻击方法(包括量子DNS攻击手段等)获取目标计算机权限。Turbine也提供了图形界面,方便NSA的工作人员手工进行选择、定位和发布任务。
如上图所示,不同国家不同地区的Turmoil节点发现了有价值目标或者攻击流量,通过发送消息通知的方式告知Turbine系统。Turbine涡轮系统将这些目标的流量重定向到美国TAO的攻击平台,攻击平台利用漏洞下发Implants(木马植入),获取目标机器权限。
-
Turmoil与Turbine协作使用场景
第1步 普通用户打开浏览器访问Facebook网站的首页,请求流量经过交换机到达Facebook官网,等待Facebook返回网页内容。
第2步 Facebook官网返回正常的应答包,将Facebook官网的首页内容返回给用户,用户的浏览器对这些返回数据进行渲染,为用户展示出漂亮的网页。这是在没有流量监听、没有流量劫持情况下正常的网络流量走向情况。
第3步 在正常用户的请求数据包到达Facebook官网的线路上,存在美国APT的Turmoil监听节点,它通过各种分拣器发现了该浏览Facebook网站的用户是某国家重要情报人员,于是自动化给Turbine系统下发消息通知。
第4步 Turbine系统进一步判断该目标确实是有价值的人员电脑,于是在目标用户的网络线路上,找到一个安装了SBZ后门的被称为”量子射手“的跳板节点,通过此节点向受害者发送一个重定向请求数据包,这个数据包会先于Facebook网站的正常返回包到达目标受害者的个人电脑。
第5步 受害者浏览器首先接收到了SBZ后门发送的重定向请求包,其浏览器在完全不知情的情况下,访问了美国NSA的TAO恶意网站,如酸狐狸0day漏洞打击平台。
第6步 美国NSA的TAO恶意网站通过浏览器0day漏洞、1day漏洞或者量子DNS注入等手段,获取目标受害者计算器权限,然后植入Validator验证器后门或者UnitedRake联合耙后门。然后美国NSA可以通过植入的后门记录受害者的键盘输入、收集受害者网站和邮箱的账号密码、记录目标麦克风的对话音频、控制电脑摄像头拍摄照片、记录受害者每天的上网情况、获取连接电脑的U盘数据等。
Part3 总结
1. 美国NSA的Turmoil监听系统,与英国情报部门GCHQ合作密切,英国的窃听基地是美国Turmoil网络的重要部分。
2. 如果Turmoil与Turbine之间物理位置相距太远而导致网络延迟太长,量子注入攻击不能比服务器返回更快导致攻击失败,为此美国NSA提出了QFIRE解决方案,后续ABC_12会抽出时间给大家介绍。
3. Turmoil系统与Turbine系统是该流量监控系统的重要组成部分,该系统还有其它重要的组件,该系统非常复杂,后续ABC_123会陆续给大家介绍其它组件,敬请期待。
公众号专注于网络安全技术分享,包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,每周一篇,99%原创,敬请关注。
Contact me: 0day123abc#gmail.com
(replace # with @)
原文始发于微信公众号(希潭实验室):第90篇:美国APT的全球流量监听系统(Turmoil监听与Turbine涡轮)讲解与分析
