websocket php 美网络攻击智慧能源企业调查报告_美国用这种方式窃取中国企业商业机密！国家互联网应急中心发布调查报告

关于我国某知名智慧能源及数字信息领域的大型高科技企业遭受美国网络攻击的调查纪实

2024年12月18日，国家互联网应急中心发布公告(

我国成功查获了两起针对我国大型科技企业机构的网络攻击事件。本报告将详细披露我国一家智慧能源与数字信息领域的大型高科技企业遭受的网络攻击情况，旨在为全球各国和机构提供有效的发现和抵御美国网络攻击行为的参考。

一、网络攻击流程

（一）利用邮件服务器漏洞进行入侵

该公司的邮件服务器采用微软的邮件系统作为其服务。攻击者针对这一系统，通过两个微软系统中的漏洞发动了攻击。他们先是利用一个允许任意用户伪造的漏洞，针对特定账户发起了攻击，紧接着又利用一个反序列化漏洞，再次发动攻击，最终目的是执行任意代码。

（二）在邮件服务器植入高度隐蔽的内存木马

为了不被察觉，黑客在邮件服务器中埋设了两款攻击工具，这些工具仅在内存中活动，并未在硬盘上进行存储。它们借助虚拟化手段，通过虚拟路径/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx进行访问，具备的主要功能有窃取敏感数据、执行命令以及实现内网穿透等。内网穿透软件利用混淆技术躲避安全防护软件的侦测，并将攻击者的数据流量转移到其他设备上，以此实现对内网内其他设备的攻击。

（三）对内网30余台重要设备发起攻击

黑客通过邮件服务器作为中转，运用内网扫描和渗透技术，在内部网络中秘密搭建加密数据传输通道，进而通过SSH、SMB等途径登录并操控公司超过30台关键设备，非法获取信息。这些设备涵盖了个人电脑、服务器和网络设备等多种类型；受控的服务器则包括邮件服务器、办公系统服务器、代码管理服务器、测试服务器、开发管理服务器以及文件管理服务器等。为了达到长期控制的目的，攻击者于目标服务器及网络管理员的电脑上部署了可构建SSH隧道的窃密工具，以此秘密执行指令并窃取数据。为了掩盖其行踪，该窃密软件伪装成了微信关联的.exe程序。此外，攻击者还在受侵害的服务器上安放了两个通过PIPE管道实现进程间通信的模块化恶意软件，成功建立了通信管道。

二、窃取大量商业秘密信息

（一）窃取大量敏感邮件数据

攻击者借助邮件服务器管理员的身份，实施了邮件数据的导出行为，其窃密对象主要针对公司的高级管理人员和关键部门成员。在执行导出操作时，攻击者设定了特定的时间段来导出邮件，部分账号的邮件被完全导出，而邮件量较大的账号则按照指定的时间段进行导出，目的在于缩减窃密数据的传输量，从而降低被察觉的风险。

（二）窃取核心网络设备账号及配置信息

攻击者入侵了该公司三名网络管理员的电脑，他们频繁地盗取了公司核心网络设备的账户和配置资料。2023年5月2日，黑客利用设于德国的代理服务器（95.179.XX.XX）作为中转，成功侵入公司邮件服务器。随后，他们以邮件服务器为桥梁，进一步攻击了网络管理员的电脑。在此过程中，他们盗取了包括“网络核心设备配置表”、“核心网络设备配置备份及巡检”、“网络拓扑”、“机房交换机（核心+汇聚）”、“运营商IP地址统计”以及“关于采购互联网控制网关的请示”在内的多份重要文件。

（三）窃取项目管理文件

攻击者对该公司的代码服务器、开发服务器等进行了攻击，频繁地窃取了该公司相关的开发项目数据。以2023年7月26日为例，他们利用芬兰的一个代理服务器（65.21.XX.XX）作为跳板，先是控制了该公司的邮件服务器，随后又以此服务器为中介，频繁地访问了在代码服务器中已安装的后门攻击工具，窃取的数据量达到了1.03GB。为了不被察觉，这款后门软件假扮成了开源项目“禅道”内的一部分，即文件“.php”。

（四）清除攻击痕迹并进行反取证分析

为躲避追踪，每次发起攻击后，攻击者都会抹去电脑日志中的攻击痕迹，并销毁在窃密过程中所生成的临时压缩文件。此外，他们还会查阅系统审计记录、过往命令的存档、SSH的相关设置等，目的是为了分析机器的取证状况，以对抗网络安全检测。

三、攻击行为特点

（一）攻击时间

研究发现，本次攻击行为主要在我国的22点到次日8点之间发生，这一时段在美国东部时间相当于上午10点到晚上8点，而攻击活动主要集中在周一至周五的白天，而在美国的主要节假日期间并未观察到任何攻击举动。

（二）攻击资源

在2023年5月至10月期间，攻击者共发动了超过30起网络攻击事件，这些攻击所采用的境外跳板IP地址几乎无一重复，这一现象充分暴露了攻击者极强的反追踪意识以及他们所拥有的丰富攻击资源储备。

（三）攻击武器

攻击者所植入的两个专门用于PIPE管道进程间通信的模块化恶意软件存放在“c:\\”目录中，这些程序基于.net框架开发，编译日期已被清除，文件体积约几十KB，主要采用TLS加密技术。而在邮件服务器内存中植入的攻击工具，其主要功能涵盖了敏感数据窃取、远程命令执行以及内网渗透等多个方面。相关服务器和网络管理员电脑中植入的攻击性窃密工具，借助https协议，能够构建SSH隧道，并返回连接至攻击者所控制的特定域名。

四、部分跳板IP列表

美网络攻击我国某先进材料设计研究院事件调查报告

2024年12月18日，国家互联网应急中心发布公告(

我国成功查获并处理了两起针对我国大型科技企业机构的网络攻击事件。本报告将详细披露我国某先进材料设计研究院遭受的网络攻击情况，旨在为全球各国及单位提供有效识别和抵御美国网络攻击行为的参考。

一、网络攻击流程

（一）利用漏洞进行攻击入侵

2024年8月19日，黑客通过该机构电子文档系统的安全漏洞成功入侵，进而盗取了系统管理员的用户名和密码。紧接着，2024年8月21日，该黑客又利用所窃取的账号与密码，成功登录了被攻击系统的管理界面。

（二）软件升级管理服务器被植入后门和木马程序

2024年8月21日中午12点整，攻击者在电子文件系统中植入了后门软件及专为窃取数据而设计的木马。为了躲避安全检测，这些恶意软件并未在硬盘上留下痕迹，而是仅存在于内存之中。该木马程序主要负责从涉案单位的被监控个人电脑中窃取敏感文件，其访问路径为/xxx/xxxx?flag=。后门程序的功能在于搜集敏感文件，并将其汇总后发送至国外，其访问路径为/xxx/。

（三）大范围个人主机电脑被植入木马

2024年11月6日、8日及16日，黑客通过电子文档服务器的软件更新机制，成功将一种特制木马病毒植入该机构276台计算机。该木马病毒的主要功能包括：首先，对被感染的计算机中的敏感文件进行扫描并窃取；其次，盗取受害者的登录账号密码等个人隐私信息。值得注意的是，这种木马病毒具有即用即删的特性。

二、窃取大量商业秘密信息

（一）全盘扫描受害单位主机

攻击者频繁通过中国境内的IP地址作为跳板，成功登录至软件升级管理服务器，进而对受害单位内部网络的主机进行入侵。他们对该单位内部主机的硬盘进行了多次全面扫描，识别出潜在的攻击对象，并掌握了该单位的工作细节。

（二）目的明确地针对性窃取

2024年11月6日至16日，黑客通过三个不同的跳板IP地址，对该软件升级管理服务器发动了三次攻击。他们向个人主机植入了木马，这些木马内置了与受害单位工作内容紧密相关的特定关键词。一旦搜索到含有这些关键词的文件，木马便会将这些文件窃取并传输到境外。这三次窃密事件所采用的关键词各不相同，这表明攻击者在每次发起攻击之前都进行了周密的策划，其攻击行为具有极高的针对性。这三次窃密活动总共窃取了4.98GB的商业机密和知识产权文件。

三、攻击行为特点

（一）攻击时间

研究发现，本次攻击活动在时间上主要集中于我国22时至次日8时，这一时段在美国东部时间对应的是上午10时至晚上8时，而攻击活动在美东时间的工作日（周一至周五）较为频繁，而在美国的主要节假日则未见有攻击举动。

（二）攻击资源

五个跳板IP均不相同，分布在不同国家如德国和罗马尼亚，这一现象显示了攻击者极强的反追踪能力以及充足的攻击资源储备。

（三）攻击武器

首先，攻击者擅长运用开放源代码或通用工具进行伪装以规避追踪。特别是在此次事件中，涉事单位的服务器上查获的后门程序，便是开源且通用的后门工具。其次，为了防止溯源，攻击者广泛采用了开放源代码或通用的攻击手段。

其次，关键的后门和恶意软件仅存在于内存之中，并未在硬盘上进行存储，这显著增加了我分析并识别其攻击行为的难度。

（四）攻击手法

攻击者对该单位电子文件系统服务器发动攻击，随后篡改了系统的客户端分发程序。他们利用软件客户端的升级功能，向276台个人主机发送了木马程序。这种做法迅速且精确地针对重要用户，大举搜集和窃取信息。这种攻击手段充分揭示了该攻击组织强大的攻击实力。

四、部分跳板IP列表