共匪公安使用高級木馬監控國內網民
1 篇帖子
• 分頁: 1 / 1
共匪公安使用高級木馬監控國內網民
由 反共復國 » 2018年5月4日
黑暗幽靈(DCM)木馬被騰訊電腦管家曝光之後,引起了業內人士的強烈關注,該木馬功能強大,行為詭異,只要插上網線或連上WIFI,無需任何操作,不一會兒電腦就被木馬感染了,據分析,黑暗幽靈(DCM)木馬具有如下特性:
1)木馬功能強大,主要以信息情報收集為主,能夠監控監聽大量的聊天軟體,收集網路訪問記錄、監控Gmail、截取屏幕、監控麥克風和攝像頭等。
2)木馬對抗性強,能夠繞過幾乎全部的安全軟體主動防禦,重點對抗國內安全軟體,能夠調用安全軟體自身的介面將木馬加入白名單,作者投入了大量的精力逆向研究安全軟體。
3)木馬感染方式特別,通過網路劫持進行感染,主要劫持主流軟體的自動更新程序,當這些軟體聯網下載更新程序時在網路上用木馬替換,導致用戶無感中毒。
4)木馬通訊方式特別,木馬將數據封裝成固定包頭的DNS協議包,發送到大型網站來實現數據傳輸,此方法可以繞過幾乎全部的防火牆,但是黑客要截取這些數據,必須在數據包的必經之路上進行嗅探攔截,結合木馬的感染方式,可以推測出在受害者網路鏈路上存在劫持。
5)木馬攻擊範圍較小,針對性強,且持續時間長達數年,符合APT(長期持續性威脅)攻擊的特性。
關於這個叫DCM的木馬,全稱Deep Censorship Messenger,即深度檢測信使,被外界稱為「黑暗幽靈」,設計和開發團隊大概10人左右,團隊成員現在分佈在全國各地多家不同行業的網路技術公司。項目完成後,公安部拿走了原碼,在此基礎上又自行改進更新,這幾年已有多個變種。該木馬的功能和所需資源,絕非民間黑客所能為,而是國家級、政府級的木馬。
DCM木馬的前世
這個木馬確實和中國政府有關係,屬於一款特殊用途的專用木馬,用於監控和偵查取證民運和異議人士,客戶是公安部國內安全保衛局。
這個木馬的項目開始時間大概是2011年,目的是作為當時一個在役的木馬(以下簡稱舊馬)的繼任者。之所以需要一箇舊馬的繼任者,是因為舊馬是基於一款開源的遠程控制軟體(以下簡稱原型遠控)修改而成的。舊木馬主要有以下幾方面的缺點:
* 免殺困難
原型遠控在黑客圈子裡比較知名,基於它的木馬變種非常多。因此殺毒軟體對它的查殺力度很大,免殺難度相對較高,保持的時間也較短,經常需要更新。
* 不夠隱蔽
舊馬沿用了原型遠控的TCP反彈連接協議,因此主控端需要具有IP地址,某些應用環境下必須是公網IP地址,因此具有泄漏木馬使用者身份的風險
* 功能有限
原型木馬設計更像灰鴿子,被控端上線以後接受控制端發送的命令,然後將結果發送回控制端。舊馬雖然努力改變這一設計,但受限於原型木馬的框架,大的功能改動顯得力不從心。
由於原型木馬的先天缺陷,導致了舊馬各方面難以彌補的不足,因此一個新的繼任木馬的需求也就被提出來了。
DCM木馬的誕生
這個繼任者的設計理念包括一下幾點:
* 無進程無窗口
該木馬的受害者不能明顯察覺到任何異樣
* 長期免殺
殺毒軟體與防火牆不能發現和攔截,包括木馬的安裝過程,以及安裝成功以後的長期運行
* 不泄漏使用者信息
必須保障該木馬控制者身份的絕對安全,任何情況下都不能泄漏控制者的 IP 地址、域名或者其他任何有價值的身份信息。即使樣本被殺毒軟體廠商獲取並分析,也無法得知控制者的確切身份。
* 完全自動化
無需人工介入,根據事先的配置設置,全自動竊取信息並回傳。沒有網路連接的情況下要保存獲取的信息,發現可用網路連接後進行回傳。
經過幾個月的設計與開發,這個繼任者木馬誕生了。
該木馬的功能與特點已經沒有必要在這裏贅述了,網上的分析文章寫的清清楚楚,總結下來就是自動記錄併發送被感染電腦上的一切隱私內容。
DCM木馬的感染方式
其實該木馬本身是不會主動傳播的,它的設計就是潛伏並回傳數據。它的傳播是依賴另外幾套系統來實現的(以下統稱傳播系統),而且這些傳播方式也並不局限與傳播DCM木馬。這些傳播系統的傳染方式當然也不僅局限於分析文章里所提到的替換正常軟體自動更新文件的方式。此外,該木馬僅用於特定目標人群的」定點打擊「,並不會大量傳播。
* 正規軟體的update自動更新
在網上的分析文章里已經寫了,通過替換正常軟體的自動更新網路數據,使這些軟體下載木馬並執行。這是這款高級木馬感染用戶電腦的主要方式,共匪公安系統有許可權和資源控制網路上的個別路由器,一旦用戶的Windows系統自動下載系統更新軟體,如從Microsoft.com站點下載update包,中間路由器就能識別並替換成捆綁DCM木馬的帶毒update包,用戶下載了有問題的更新包后不會覺察,系統按正常程序自動更新,電腦即中馬,很多正規軟體都直接運行在管理員模式下,還幫木馬省去了提權的麻煩。
* 下載可執行文件捆綁
被列入」定點打擊「的電腦如果下載了不超過一個預設大小的EXE文件,則傳播系統會將木馬捆綁在這些正常的EXE文件上,而且並不會破壞原有可執行文件。用戶一旦運行了下載的EXE文件就會被感染。
* 壓縮文件感染
被列入」定點打擊「的電腦如果下載了一個符合某些條件的壓縮文件,則傳播系統會根據配置將木馬插入壓縮文件中,替換掉壓縮文件中的可執行文件,或者替換掉整個壓縮文件,從而實現感染目標主機的目的。
* 瀏覽器劫持感染
這個感染方式比較極端,只有少量情況下會使用。當該感染方式啟動時,用戶電腦無法正常瀏覽部分甚至全部網站,瀏覽器會被重定向到一個釣魚頁面,要求用戶安裝」瀏覽器插件」或者「必要更新」一類的內容,從而誘導甚至強迫用戶安裝木馬。
DCM木馬相關的其他木馬項目
毫無疑問DCM是針對Windows平台的木馬,然而這並不表示其他平台就是安全的,現也在研髮針對蘋果系統和Linux系統的版本,還有針對智能手機的版本。
從DCM木馬的通信方式上來說,最早是篡改DNS查詢包,把數據加在查詢microsoft.com域名的DNS請求中,最近兩年新的改進木馬,改為直接查詢baidu.com,sina.com,163.com等國內主要網站,因國內用戶一般都習慣訪問這幾個網站,數據更容易拿到,也不易引起懷疑。新的版本也採用「雙管齊下」的手法保證數據的截獲,即途徑一是使用網路中途的轉發路由器截獲DNS查詢數據包,途徑二是直接控制百度、新浪、網易這些公司的伺服器,在這些終端伺服器上獲取數據。共匪公安部門在上述大型網路公司里都安插有眼線網管,這些網路管理員一般通過內部關係被安插入這些網路公司,網路公司的高管對之或知情或不知情,對共匪的監控手段早已習慣,無法不配合共匪公安部門的工作。
2011年時該木馬構造一個DNS數據包,包頭是DNS查詢microsoft.com的子域名,payload則是另一個封裝的數據包,其中包括文件名、文件大小、分片序號以及LZMA壓縮后的實際數據內容。木馬會將該數據包發往微軟的一個IP地址,並根據網路上行帶寬控制發送速度。由於目標 IP 地址並不是一個有效的DNS伺服器,所以木馬不會收到任何回複數據。之所以發往微軟的IP 地址,是因為以下幾方面考慮:
* 國外IP
選擇一個國外的IP地址會確保數據包通過城市出口,省出口以及中國的互聯網國際出口,因此大幅提高我們截取到這些DNS數據包的成功率,而且當用戶攜帶被感染的筆記本電腦等攜帶型設備到其他沒有布防的省市時,我們仍然可以從國際出口的UDP 53上行數據中截獲所需的數據。
* 降低可疑度
Windows操作系統自身原本就會發送大量的關於microsoft.com域名的DNS請求,包括自動更新、錯誤報告等諸多功能,都會發往微軟。因此我們也偽裝成相似的DNS請求,從而降低數據包的可疑度,即使觸發了防火牆的報警,用戶仍然有很大概率選擇放行。
* 微軟不是中國的「敵對勢力」
起始最初木馬設計者曾經設置將數據發往Google,但共匪公安系統認為Google是「境外敵對勢力」,將這些敏感數據發往Google是絕不可接受的。於是經過討論,設計者認為微軟本身作為操作系統的開發者,原本就有大量的隱私數據被發往微軟,也不在乎再加一點。而且一旦此事真的被大家發現了,安全專家開始關注這個木馬(就像現在這樣),微軟還可以成為一個合理的「懷疑對象」,順理成章的把我們的責任推到微軟的頭上。
數據包的重組則依賴於多層網路探針設備,前面已經說過了,這個木馬的背後是共匪公安系統,因此他們獲得這些DNS數據包的渠道是非常廣泛的。以一個家庭用戶為例,有以下節點可供共匪公安系統獲取這些數據:
* 運營商提供的寬頻路由器或Modem
部分型號是有預留後門的,可以直接遠程激活。即使用戶家中的路由和Modem沒有後門,在確實必要的情況下共匪公安機關會幹擾用戶的網路,迫使用戶主動聯繫運營商進行維修,然後派人偽裝成運營商工作人員去「維修」用戶家中的設備甚至直接建議用戶更換設備(設備老化之類的借口)除此之外,共匪公安機關還會在區域網內通過主動的掃描以及被動的監聽等方式,來採集區域網內設備的信息,尤其是無線設備的信息。
* 小區交換機
很多小區有自己的網路交換機,共匪公安機關會派員直接在網路交換機櫃里加裝小型低功耗設備,將用戶的網路數據鏡像出來,並儲存在設備的硬碟中或轉發到其他IP地址。如果使用轉發模式,可能會復用用戶的寬頻網路,反正用戶在自己家裡抓包監測網路通訊是絕對看不到任何異常的。
* ISP 機房
不用解釋了,大家都知道怎麼回事。ISP機房的好處是設備的功耗和體積沒有限制,可以做更多的事。缺點是插拔網線時會導致用戶的網路暫時中斷,而且ISP機房又只在工作時間向共匪其他機關部門開放,所以偶爾可能會被用戶察覺到網路和電話突然中斷幾十秒到幾分鐘。
* 當地的公安機房
ISP會將部分數據鏡像給共匪公安機關,主要是TCP 80上行和UDP 53上行,因為這兩個埠的上行數據量都不大,而且包含了我們所關心的大部分信息。這也是DCM木馬選擇使用DNS數據包的原因之一。
* 城市出口
一線二線的大城市的互聯網出口幾乎都有共匪公安系統的監控設備,但2011年時中小城市的覆蓋率則相對較低,現在的覆蓋率恐怕已經包含了大部分互聯網發達的三級城市了。
* 省際出口
國內所有的省級互聯網出口都有大量的網路探針設備,其中有一部分屬於共匪公安系統的,也有一些是其他共匪其它機關部門的。
* 國際出口
其實國際出口是被信息產業部控制的,共匪的公安系統沒有辦法直接訪問,只有特例在有需要的情況下,需聯繫信息產業部,才可拿到鏡像數據,但程序比較繁瑣,這可以作為最後一個機會。
這裏面有些層級是會暫時或長期地保留數據的,比如公安機房和國際出口,數據會被選擇性的存儲下來,供日後查閱。
不過那篇對該木馬分析的文章里找到IP地址是百度之類的國內IP,估計和最近幾年的政策變動有關係。也許微軟也成為了境外「敵對勢力」之一,從微軟的OneDrive服務被牆就可以看出,共匪對於微軟也是不信任或者不完全信任的態度。
騰訊電腦管家雖然誤打誤撞,發現並成功分析了這款高級木馬,但也不是說騰訊的安全產品就可以信任,共匪官方的勢力派系眾多,利益糾葛混亂,很可能騰訊的安全軟體查殺了某個木馬,卻給用戶安裝上另一款自己研發的獨特木馬,國產的任何軟體均不可信任!
——轉自革命前夜
1)木馬功能強大,主要以信息情報收集為主,能夠監控監聽大量的聊天軟體,收集網路訪問記錄、監控Gmail、截取屏幕、監控麥克風和攝像頭等。
2)木馬對抗性強,能夠繞過幾乎全部的安全軟體主動防禦,重點對抗國內安全軟體,能夠調用安全軟體自身的介面將木馬加入白名單,作者投入了大量的精力逆向研究安全軟體。
3)木馬感染方式特別,通過網路劫持進行感染,主要劫持主流軟體的自動更新程序,當這些軟體聯網下載更新程序時在網路上用木馬替換,導致用戶無感中毒。
4)木馬通訊方式特別,木馬將數據封裝成固定包頭的DNS協議包,發送到大型網站來實現數據傳輸,此方法可以繞過幾乎全部的防火牆,但是黑客要截取這些數據,必須在數據包的必經之路上進行嗅探攔截,結合木馬的感染方式,可以推測出在受害者網路鏈路上存在劫持。
5)木馬攻擊範圍較小,針對性強,且持續時間長達數年,符合APT(長期持續性威脅)攻擊的特性。
關於這個叫DCM的木馬,全稱Deep Censorship Messenger,即深度檢測信使,被外界稱為「黑暗幽靈」,設計和開發團隊大概10人左右,團隊成員現在分佈在全國各地多家不同行業的網路技術公司。項目完成後,公安部拿走了原碼,在此基礎上又自行改進更新,這幾年已有多個變種。該木馬的功能和所需資源,絕非民間黑客所能為,而是國家級、政府級的木馬。
DCM木馬的前世
這個木馬確實和中國政府有關係,屬於一款特殊用途的專用木馬,用於監控和偵查取證民運和異議人士,客戶是公安部國內安全保衛局。
這個木馬的項目開始時間大概是2011年,目的是作為當時一個在役的木馬(以下簡稱舊馬)的繼任者。之所以需要一箇舊馬的繼任者,是因為舊馬是基於一款開源的遠程控制軟體(以下簡稱原型遠控)修改而成的。舊木馬主要有以下幾方面的缺點:
* 免殺困難
原型遠控在黑客圈子裡比較知名,基於它的木馬變種非常多。因此殺毒軟體對它的查殺力度很大,免殺難度相對較高,保持的時間也較短,經常需要更新。
* 不夠隱蔽
舊馬沿用了原型遠控的TCP反彈連接協議,因此主控端需要具有IP地址,某些應用環境下必須是公網IP地址,因此具有泄漏木馬使用者身份的風險
* 功能有限
原型木馬設計更像灰鴿子,被控端上線以後接受控制端發送的命令,然後將結果發送回控制端。舊馬雖然努力改變這一設計,但受限於原型木馬的框架,大的功能改動顯得力不從心。
由於原型木馬的先天缺陷,導致了舊馬各方面難以彌補的不足,因此一個新的繼任木馬的需求也就被提出來了。
DCM木馬的誕生
這個繼任者的設計理念包括一下幾點:
* 無進程無窗口
該木馬的受害者不能明顯察覺到任何異樣
* 長期免殺
殺毒軟體與防火牆不能發現和攔截,包括木馬的安裝過程,以及安裝成功以後的長期運行
* 不泄漏使用者信息
必須保障該木馬控制者身份的絕對安全,任何情況下都不能泄漏控制者的 IP 地址、域名或者其他任何有價值的身份信息。即使樣本被殺毒軟體廠商獲取並分析,也無法得知控制者的確切身份。
* 完全自動化
無需人工介入,根據事先的配置設置,全自動竊取信息並回傳。沒有網路連接的情況下要保存獲取的信息,發現可用網路連接後進行回傳。
經過幾個月的設計與開發,這個繼任者木馬誕生了。
該木馬的功能與特點已經沒有必要在這裏贅述了,網上的分析文章寫的清清楚楚,總結下來就是自動記錄併發送被感染電腦上的一切隱私內容。
DCM木馬的感染方式
其實該木馬本身是不會主動傳播的,它的設計就是潛伏並回傳數據。它的傳播是依賴另外幾套系統來實現的(以下統稱傳播系統),而且這些傳播方式也並不局限與傳播DCM木馬。這些傳播系統的傳染方式當然也不僅局限於分析文章里所提到的替換正常軟體自動更新文件的方式。此外,該木馬僅用於特定目標人群的」定點打擊「,並不會大量傳播。
* 正規軟體的update自動更新
在網上的分析文章里已經寫了,通過替換正常軟體的自動更新網路數據,使這些軟體下載木馬並執行。這是這款高級木馬感染用戶電腦的主要方式,共匪公安系統有許可權和資源控制網路上的個別路由器,一旦用戶的Windows系統自動下載系統更新軟體,如從Microsoft.com站點下載update包,中間路由器就能識別並替換成捆綁DCM木馬的帶毒update包,用戶下載了有問題的更新包后不會覺察,系統按正常程序自動更新,電腦即中馬,很多正規軟體都直接運行在管理員模式下,還幫木馬省去了提權的麻煩。
* 下載可執行文件捆綁
被列入」定點打擊「的電腦如果下載了不超過一個預設大小的EXE文件,則傳播系統會將木馬捆綁在這些正常的EXE文件上,而且並不會破壞原有可執行文件。用戶一旦運行了下載的EXE文件就會被感染。
* 壓縮文件感染
被列入」定點打擊「的電腦如果下載了一個符合某些條件的壓縮文件,則傳播系統會根據配置將木馬插入壓縮文件中,替換掉壓縮文件中的可執行文件,或者替換掉整個壓縮文件,從而實現感染目標主機的目的。
* 瀏覽器劫持感染
這個感染方式比較極端,只有少量情況下會使用。當該感染方式啟動時,用戶電腦無法正常瀏覽部分甚至全部網站,瀏覽器會被重定向到一個釣魚頁面,要求用戶安裝」瀏覽器插件」或者「必要更新」一類的內容,從而誘導甚至強迫用戶安裝木馬。
DCM木馬相關的其他木馬項目
毫無疑問DCM是針對Windows平台的木馬,然而這並不表示其他平台就是安全的,現也在研髮針對蘋果系統和Linux系統的版本,還有針對智能手機的版本。
從DCM木馬的通信方式上來說,最早是篡改DNS查詢包,把數據加在查詢microsoft.com域名的DNS請求中,最近兩年新的改進木馬,改為直接查詢baidu.com,sina.com,163.com等國內主要網站,因國內用戶一般都習慣訪問這幾個網站,數據更容易拿到,也不易引起懷疑。新的版本也採用「雙管齊下」的手法保證數據的截獲,即途徑一是使用網路中途的轉發路由器截獲DNS查詢數據包,途徑二是直接控制百度、新浪、網易這些公司的伺服器,在這些終端伺服器上獲取數據。共匪公安部門在上述大型網路公司里都安插有眼線網管,這些網路管理員一般通過內部關係被安插入這些網路公司,網路公司的高管對之或知情或不知情,對共匪的監控手段早已習慣,無法不配合共匪公安部門的工作。
2011年時該木馬構造一個DNS數據包,包頭是DNS查詢microsoft.com的子域名,payload則是另一個封裝的數據包,其中包括文件名、文件大小、分片序號以及LZMA壓縮后的實際數據內容。木馬會將該數據包發往微軟的一個IP地址,並根據網路上行帶寬控制發送速度。由於目標 IP 地址並不是一個有效的DNS伺服器,所以木馬不會收到任何回複數據。之所以發往微軟的IP 地址,是因為以下幾方面考慮:
* 國外IP
選擇一個國外的IP地址會確保數據包通過城市出口,省出口以及中國的互聯網國際出口,因此大幅提高我們截取到這些DNS數據包的成功率,而且當用戶攜帶被感染的筆記本電腦等攜帶型設備到其他沒有布防的省市時,我們仍然可以從國際出口的UDP 53上行數據中截獲所需的數據。
* 降低可疑度
Windows操作系統自身原本就會發送大量的關於microsoft.com域名的DNS請求,包括自動更新、錯誤報告等諸多功能,都會發往微軟。因此我們也偽裝成相似的DNS請求,從而降低數據包的可疑度,即使觸發了防火牆的報警,用戶仍然有很大概率選擇放行。
* 微軟不是中國的「敵對勢力」
起始最初木馬設計者曾經設置將數據發往Google,但共匪公安系統認為Google是「境外敵對勢力」,將這些敏感數據發往Google是絕不可接受的。於是經過討論,設計者認為微軟本身作為操作系統的開發者,原本就有大量的隱私數據被發往微軟,也不在乎再加一點。而且一旦此事真的被大家發現了,安全專家開始關注這個木馬(就像現在這樣),微軟還可以成為一個合理的「懷疑對象」,順理成章的把我們的責任推到微軟的頭上。
數據包的重組則依賴於多層網路探針設備,前面已經說過了,這個木馬的背後是共匪公安系統,因此他們獲得這些DNS數據包的渠道是非常廣泛的。以一個家庭用戶為例,有以下節點可供共匪公安系統獲取這些數據:
* 運營商提供的寬頻路由器或Modem
部分型號是有預留後門的,可以直接遠程激活。即使用戶家中的路由和Modem沒有後門,在確實必要的情況下共匪公安機關會幹擾用戶的網路,迫使用戶主動聯繫運營商進行維修,然後派人偽裝成運營商工作人員去「維修」用戶家中的設備甚至直接建議用戶更換設備(設備老化之類的借口)除此之外,共匪公安機關還會在區域網內通過主動的掃描以及被動的監聽等方式,來採集區域網內設備的信息,尤其是無線設備的信息。
* 小區交換機
很多小區有自己的網路交換機,共匪公安機關會派員直接在網路交換機櫃里加裝小型低功耗設備,將用戶的網路數據鏡像出來,並儲存在設備的硬碟中或轉發到其他IP地址。如果使用轉發模式,可能會復用用戶的寬頻網路,反正用戶在自己家裡抓包監測網路通訊是絕對看不到任何異常的。
* ISP 機房
不用解釋了,大家都知道怎麼回事。ISP機房的好處是設備的功耗和體積沒有限制,可以做更多的事。缺點是插拔網線時會導致用戶的網路暫時中斷,而且ISP機房又只在工作時間向共匪其他機關部門開放,所以偶爾可能會被用戶察覺到網路和電話突然中斷幾十秒到幾分鐘。
* 當地的公安機房
ISP會將部分數據鏡像給共匪公安機關,主要是TCP 80上行和UDP 53上行,因為這兩個埠的上行數據量都不大,而且包含了我們所關心的大部分信息。這也是DCM木馬選擇使用DNS數據包的原因之一。
* 城市出口
一線二線的大城市的互聯網出口幾乎都有共匪公安系統的監控設備,但2011年時中小城市的覆蓋率則相對較低,現在的覆蓋率恐怕已經包含了大部分互聯網發達的三級城市了。
* 省際出口
國內所有的省級互聯網出口都有大量的網路探針設備,其中有一部分屬於共匪公安系統的,也有一些是其他共匪其它機關部門的。
* 國際出口
其實國際出口是被信息產業部控制的,共匪的公安系統沒有辦法直接訪問,只有特例在有需要的情況下,需聯繫信息產業部,才可拿到鏡像數據,但程序比較繁瑣,這可以作為最後一個機會。
這裏面有些層級是會暫時或長期地保留數據的,比如公安機房和國際出口,數據會被選擇性的存儲下來,供日後查閱。
不過那篇對該木馬分析的文章里找到IP地址是百度之類的國內IP,估計和最近幾年的政策變動有關係。也許微軟也成為了境外「敵對勢力」之一,從微軟的OneDrive服務被牆就可以看出,共匪對於微軟也是不信任或者不完全信任的態度。
騰訊電腦管家雖然誤打誤撞,發現並成功分析了這款高級木馬,但也不是說騰訊的安全產品就可以信任,共匪官方的勢力派系眾多,利益糾葛混亂,很可能騰訊的安全軟體查殺了某個木馬,卻給用戶安裝上另一款自己研發的獨特木馬,國產的任何軟體均不可信任!
——轉自革命前夜
1 篇帖子
• 分頁: 1 / 1
