windows8杀毒(win8杀毒软件)
大家好,小杨来为大家解答以上问题,windows8杀毒,win8杀毒软件很多人还不知道,现在让我们一起来看看吧!
1、可以保证电脑的健康和安全。
2、2022年6月22日,西北工业大学发布《公开声明》,称学校遭到境外网络攻击。陕西省Xi公安局碑林分局立即发布《警情通报》,
3、确认在西北工业大学信息网络中发现多种源自境外的木马和恶意程序,Xi警方已正式立案调查。
4、中国国家计算机病毒应急处理中心和360公司参与了本案的技术分析。技术团队先后从西北工业大学多个信息系统和互联网终端提取木马样本,综合利用国内现有数据资源和分析方法。
5、在欧洲和东南亚部分国家合作伙伴的全力支持下,全面还原了相关攻击的整体概况、技术特征、攻击武器、攻击路径和攻击来源。
6、初步确定相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(即量身定制访问行动办公室,以下简称“TAO”)。
7、该系列研究报告将公布陶针对西北工业大学发动的数千次网络攻击中一些具体攻击的重要细节,为世界各国有效发现和防范陶的后续网络攻击提供有益案例。
8、道攻贯
9、西北工业大学流程
10、陶对他国发动的网络攻击针对性强,采取半自动攻击流程,单点突破,逐步渗透,长期窃取。
11、第一,单点突破,级联渗透,控制西北工业大学的网络
12、经过长期的精心准备,陶利用“酸狐”平台,对西北工业大学内部主机和服务器进行中间人劫持攻击,部署“怒喷”远程控制武器,控制了多台关键服务器。利用木马级联控制渗透的方式,
13、深入渗透到西北工业大学内部网络,先后控制了运维网、办公网的核心网络设备、服务器、终端,获得了西北工业大学路由器、交换机等部分重要网络节点设备的控制权,窃取认证数据,进一步实施渗透扩展,
14、最终实现了对西北工业大学内部网络的隐藏控制。
15、第二,隐藏存在,“合法”监控,窃取核心运维数据
16、陶利用战斗行动盾武器“坚忍外科医生”配合远程控制木马NOPEN,实现流程、文档、操作行为的整体“隐形”,长期秘密控制西北工业大学运维管理服务器。
17、同时采用替换三个原始系统文件和三类系统日志的方法,消除痕迹,避免可追溯性。TAO从服务器上窃取了几个网络设备配置文件。利用窃取的配置文件,陶远程“合法”监控了许多网络设备和互联网用户。
18、为后续对这些目标实施拓展渗透提供数据支持。
19、三、搜集身份验证数据、构建通道,渗透基础设施
20、TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。
21、根据TAO攻击链路、渗透方式、木马样本等特征,关联发现TAO非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的“合法”通道,实现了对中国基础设施的渗透控制。
22、四、控制重要业务系统,实施用户数据窃取
23、TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,
24、利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。
25、窃取西北工业大学
26、和中国运营商敏感信息
27、一、窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据
28、TAO通过在西北工业大学运维管理服务器安装嗅探工具“饮茶”,长期隐蔽嗅探窃取西北工业大学运维管理人员远程维护管理信息,包含网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息等。
29、遭到嗅探的网络设备类型包括固定互联网的接入网设备(路由器、认证服务器等)、核心网设备(核心路由器、交换机、防火墙等),也包括通信基础设施运营企业的重要设备(数据服务平台等),
30、内容包括账号、口令、设备配置、网络配置等信息。
31、窃取西工大核心网络设备账号口令及配置信息
32、北京时间20年12月11日6时52分,TAO以位于日本京都大学的代理服务器(IP:130.54..)为攻击跳板,非法入侵了西北工业大学运维网络的“telnet”管理服务器,
33、上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,上述2台服务器事先均已被安装“饮茶”嗅探工具。TAO远程操控木马检索并下载被压缩加密的监听记录文件,然后清痕退出。
34、窃取数据包括路由器、核心网设备(核心路由器、交换机、防火墙)管理账号、口令、设备配置、网络配置等信息。
35、多次窃取接入网认证设备账号口令及配置信息
36、(1)北京时间20年5月30日0时28分,TAO以位于日本的代理服务器(IP:210.135..)为攻击跳板,非法入侵了西北工业大学运维网络“telnet”管理服务器,
37、上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,这2台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马检索并下载窃密记录文件后清痕退出。
38、窃取数据包括接入网认证设备的账号、口令及配置信息。
39、(2)北京时间20年7月4日1时12分,TAO利用位于德国莱比锡技术经济和文化学院的代理服务器(IP:141.57..)作为攻击跳板,
40、非法入侵西北工业大学运维网络“telnet”管理服务器,上传并安装NOPEN木马工具,级联控制其内网监控管理服务器等其他3台服务器,这4台服务器事先均已被安装“饮茶”嗅探工具,
41、TAO远程操控木马检索并下载窃密文件后清痕退出。
42、(3)北京时间20年10月11日10时35分,TAO利用位于韩国首尔国立江原大学的代理服务器(IP:210.115..)作为攻击跳板,非法入侵西北工业大学运维网络监控管理服务器,
43、上传并安装NOPEN木马工具,然后级联控制其内网备份服务器、认证服务器等其他4台服务器,这5台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马分别检索并下载窃取记录文件后清痕退出。
44、(4)北京时间20年10月19日2时46分,TAO以位于韩国大田的高等科学技术研究学院的代理服务器(IP:143.248..)为攻击跳板,
45、非法入侵西北工业大学运维网络“telnet”管理服务器,级联控制其内网监管服务器等其他2台服务器,这3台服务器事先均已被安装“饮茶”嗅探工具,TAO通过远程操控木马检索并下载窃密文件,然后清痕退出。
46、二、窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据
47、美国国家安全局“特定入侵行动办公室”(TAO)长期攻击入侵西北工业大学网络运维管理服务器,秘密窃取网络设备运维配置文件和日志文件。
48、窃取西北工业大学网络运行日志文件
49、北京时间20年3月2日3时41分,TAO通过位于日本的代理服务器(IP:210.135..)非法入侵控制西北工业大学1台网络运维管理服务器。3时49分,
50、TAO从该运维管理服务器横向移动到另一台运维监控服务器,以特定字符串为关键词检索日志文件并进行窃取了一批系统运行日志文件和系统日常自检报告备份文件。
51、窃取西北工业大学服务器定期任务配置脚本
52、北京时间20年10月11日10时41分,TAO通过位于韩国的代理服务器(IP:210.115..)入侵控制了西北工业大学一台内网服务器。10时48分,TAO经过两次横向移动,
53、入侵了另一台内网服务器,访问了特定目录下的定期任务配置脚本,共检索到14个用于定期执行任务的配置文件。随后,一次性窃取了这14个文件,这些文件可用于执行定期清理、备份、检查电源等操作。
54、窃取西北工业大学公司服务器系统信息文件
55、北京时间20年6月6日1时27分,TAO通过位于韩国的代理服务器(IP:222.122..)入侵控制了西北工业大学一台内网服务器。2时4分,TAO经过两次横向移动,入侵了另一台内网服务器,
56、访问了目录/var/下的系统文件,窃取了60个常用的系统信息文件,被窃取的系统信息文件内容包含系统发行版本、用户密码哈希、用户权限、本地域名解析配置等。
57、三、渗透控制中国基础设施核心设备
58、美国国家安全局“特定入侵行动办公室”(TAO)利用窃取到的网络设备账号口令,以“合法”身份进入中国某基础设施运营商服务网络,控制相关服务质量监控系统,窃取用户隐私数据。
59、窃取中国用户隐私数据
60、北京时间20年3月7日22:53,美国国家安全局“特定入侵行动办公室”(TAO)通过位于墨西哥的攻击代理148.208..,
61、攻击控制中国某基础设施运营商的业务服务器211.136..,通过两次内网横向移动(10.223.140.、10.223.14.)后,攻击控制了用户数据库服务器,
62、非法查询多名身份敏感人员的用户信息。
63、同日15:02,TAO将查询到的用户数据保存在被攻击服务器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目录下,被打包回传至攻击跳板,
64、随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。
65、美国国家安全局“特定入侵行动办公室”(TAO)运用同样的手法,分别于北京时间20年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分,
66、攻击控制另外1家中国基础设施业务服务器,非法多批次查询、导出、窃取多名身份敏感人员的用户信息。
67、渗透控制全球电信基础设施
68、据分析,美国国家安全局“特定入侵行动办公室”(TAO)以上述手法,利用相同的武器工具组合,“合法”控制了全球不少于80个国家的电信基础设施网络。技术团队与欧洲和东南亚国家的合作伙伴通力协作,
69、成功提取并固定了上述武器工具样本,并成功完成了技术分析,拟适时对外公布,协助全球共同抵御和防范美国国家安全局NSA的网络渗透攻击。
70、TAO在攻击过程中暴露身份的相关情况
71、美国国家安全局“特定入侵行动办公室”(TAO)在网络攻击西北工业大学过程中,暴露出多项技术漏洞,多次出现操作失误,
72、相关证据进一步证明对西北工业大学实施网络攻击窃密行动的幕后黑手即为美国国家安全局NSA。兹摘要举例如下:
73、一、攻击时间完全吻合美国工作作息时间规律
74、美国国家安全局“特定入侵行动办公室”(TAO)在使用tipoff激活指令和远程控制NOPEN木马时,必须通过手动操作,从这两类工具的攻击时间可以分析出网络攻击者的实际工作时间。
75、首先,根据对相关网络攻击行为的大数据分析,对西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间,该时段对应着美国东部时间9时至16时,属于美国国内的工作时间段。
76、其次,美国时间的全部周六、周日中,均未发生对西北工业大学的网络攻击行动。
77、第三,分析美国特有的节假日,发现美国的“阵亡将士纪念日”放假3天,美国“独立日”放假1天,在这四天中攻击方没有实施任何攻击窃密行动。
78、第四,长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活动都处于静默状态。依据上述工作时间和节假日安排进行判断,针对西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的,
79、肆无忌惮,毫不掩饰。
80、二、语言行为习惯与美国密切关联
81、技术团队在对网络攻击者长时间追踪和反渗透过程中(略)发现,
82、攻击者具有以下语言特征:一是攻击者有使用美式英语的习惯;二是与攻击者相关联的上网设备均安装英文操作系统及各类英文版应用程序;三是攻击者使用美式键盘进行输入。
83、三、武器操作失误暴露工作路径
84、20年5月16日5时36分(北京时间),对西北工业大学实施网络攻击人员利用位于韩国的跳板机(IP:222.122..),并使用NOPEN木马再次攻击西北工业大学。
85、在对西北工业大学内网实施第三级渗透后试图入侵控制一台网络设备时,在运行上传PY脚本工具时出现人为失误,未修改指定参数。脚本执行后返回出错信息,信息中暴露出攻击者上网终端的工作目录和相应的文件名,
86、从中可知木马控制端的系统环境为Linux系统,且相应目录名“/etc/autoutils”系TAO网络攻击武器工具目录的专用名称(autoutils)。
87、出错信息如下:
88、Quantifier follows nothing in regex; marked by -- HERE in m/* -- HERE .log/at ./etc/autoutils line 4569
89、四、大量武器与遭曝光的NSA武器基因高度同源
90、此次被捕获的、对西北工业大学攻击窃密中所用的41款不同的网络攻击武器工具中,有16款工具与“影子经纪人”曝光的TAO武器完全一致;有23款工具虽然与“影子经纪人”曝光的工具不完全相同,
91、但其基因相似度高达97%,属于同一类武器,只是相关配置不相同;另有2款工具无法与“影子经纪人”曝光工具进行对应,但这2款工具需要与TAO的其它网络攻击武器工具配合使用,因此这批武器工具明显具有同源性,
92、都归属于TAO。
93、五、部分网络攻击行为发生在“影子经纪人”曝光之前
94、技术团队综合分析发现,在对中国目标实施的上万次网络攻击,特别是对西北工业大学发起的上千次网络攻击中,部分攻击过程中使用的武器攻击,在“影子经纪人”曝光NSA武器装备前便完成了木马植入。
95、按照NSA的行为习惯,上述武器工具大概率由TAO雇员自己使用。
96、TAO网络攻击西北工业大学
97、武器平台IP列表
98、技术分析与溯源调查中,技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址,举例如下:
99、序号
100、IP地址
101、国家
102、说明
103、1
104、190.242..
105、哥伦比亚
106、构建酸狐狸中间人攻击平台
107、2
108、81.31..
109、捷克
110、木马信息回传平台
111、3
112、80.77..
113、埃及
114、木马信息回传平台
115、4
116、83.98..
117、荷兰
118、木马信息回传平台
119、5
120、82.103..
121、丹麦
122、木马信息回传平台
123、TAO网络攻击西北工业大学
124、所用跳板IP列表
125、序号
126、IP地址
127、归属地
128、1
129、211.119..
130、韩国
131、2
132、210.143..
133、日本
134、3
135、211.119..
136、韩国
137、4
138、210.143..
139、日本
140、5
141、211.233..
142、韩国
143、6
144、143.248..
145、韩国大田高等科学技术研究学院
146、7
147、210.143..
148、日本
149、8
150、211.233..
151、韩国
152、9
153、210.135..
154、日本
155、10
156、210.143..
157、日本
158、11
159、210.115..
160、韩国首尔国立江原大学
161、12
162、222.122..
163、韩国KT电信
164、13
165、89.96..
166、意大利伦巴第米兰
167、14
168、210.135..
169、日本东京
170、15
171、147.32..
172、捷克布拉格
173、16
174、132.248..
175、墨西哥
176、17
177、195.162..
178、瑞士
179、18
180、213.130..
181、卡塔尔
182、19
183、210.228..
184、日本
185、20
186、211.233..
187、韩国
188、21
189、134.102..
190、德国不莱梅大学
191、22
192、129.187..
193、德国慕尼黑
194、23
195、210.143..
196、日本
197、24
198、91.217..
199、芬兰
200、25
201、211.233..
202、韩国
203、26
204、84.88..
205、西班牙巴塞罗那
206、27
207、130.54..
208、日本京都大学
209、28
210、132.248..
211、墨西哥
212、29
213、195.251..
214、希腊
215、30
216、222.122..
217、韩国
218、31
219、192.167..
220、意大利
221、32
222、218.232..
223、韩国首尔
224、33
225、148.208..
226、墨西哥
227、34
228、61.115..
229、日本
230、35
231、130.241..
232、瑞典
233、36
234、61.1..
235、印度
236、37
237、210.143..
238、日本
239、38
240、202.30..
241、韩国
242、39
243、85.13..
244、奥地利
245、40
246、220.66..
247、韩国
248、41
249、220.66..
250、韩国
251、42
252、222.122..
253、韩国
254、43
255、141.57..
256、德国莱比锡技术经济和文化学院
257、44
258、212.109..
259、波兰
260、45
261、210.135..
262、日本东京
263、46
264、212.51..
265、波兰
266、47
267、82.148..
268、卡塔尔
269、48
270、46.29..
271、乌克兰
272、49
273、143.248..
274、韩国大田高等科学技术研究学院
275、小结
276、综合此次美国国家安全局“特定入侵行动办公室”(TAO)针对西北工业大学的网络入侵行径,其行为对我国国防安全、关键基础设施安全、社会安全、公民个人信息安全造成严重危害,值得我们深思与警惕:
277、面对美国NSA对我国实施长期潜伏与持续渗透的攻击行为,我国政府、各大中小企业、大学、医疗机构、科研机构以及重要信息基础设施运维单位等都应做好防范准备:一方面各行业、企业应尽快开展APT攻击自查工作,
278、另一方面要着力实现以“看见”为核心的全面系统化防治。
279、面对国家级背景的强大对手,首先要知道风险在哪,是什么样的风险,什么时候的风险。
280、因此,各大单位要逐步提升感知能力、看见能力、处置能力,在攻击做出破坏之前及时斩断“杀伤链”,变事后发现为事前捕获,真正实现感知风险、看见威胁、抵御攻击。
281、杀毒软件哪个好?电脑安全软件哪个好用?360安全卫士有足够的实力为广大电脑用户提供全面呵护,形成一层可以隔绝病毒的“保护膜”,守护广大用户的电脑安全、信息安全与网络安全。
本文到此结束,希望对大家有所帮助。
