共匪公安使用高级木马监控国内网民
1 篇帖子
• 分页: 1 / 1
共匪公安使用高级木马监控国内网民
由 反共复国 » 2018年5月4日
黑暗幽灵(DCM)木马被腾讯电脑管家曝光之后,引起了业内人士的强烈关注,该木马功能强大,行为诡异,只要插上网线或连上WIFI,无需任何操作,不一会儿电脑就被木马感染了,据分析,黑暗幽灵(DCM)木马具有如下特性:
1)木马功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。
2)木马对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安全软件。
3)木马感染方式特别,通过网络劫持进行感染,主要劫持主流软件的自动更新程序,当这些软件联网下载更新程序时在网络上用木马替换,导致用户无感中毒。
4)木马通讯方式特别,木马将数据封装成固定包头的DNS协议包,发送到大型网站来实现数据传输,此方法可以绕过几乎全部的防火墙,但是黑客要截取这些数据,必须在数据包的必经之路上进行嗅探拦截,结合木马的感染方式,可以推测出在受害者网络链路上存在劫持。
5)木马攻击范围较小,针对性强,且持续时间长达数年,符合APT(长期持续性威胁)攻击的特性。
关于这个叫DCM的木马,全称Deep Censorship Messenger,即深度检测信使,被外界称为“黑暗幽灵”,设计和开发团队大概10人左右,团队成员现在分布在全国各地多家不同行业的网络技术公司。项目完成后,公安部拿走了原码,在此基础上又自行改进更新,这几年已有多个变种。该木马的功能和所需资源,绝非民间黑客所能为,而是国家级、政府级的木马。
DCM木马的前世
这个木马确实和中国政府有关系,属于一款特殊用途的专用木马,用于监控和侦查取证民运和异议人士,客户是公安部国内安全保卫局。
这个木马的项目开始时间大概是2011年,目的是作为当时一个在役的木马(以下简称旧马)的继任者。之所以需要一个旧马的继任者,是因为旧马是基于一款开源的远程控制软件(以下简称原型远控)修改而成的。旧木马主要有以下几方面的缺点:
* 免杀困难
原型远控在黑客圈子里比较知名,基于它的木马变种非常多。因此杀毒软件对它的查杀力度很大,免杀难度相对较高,保持的时间也较短,经常需要更新。
* 不够隐蔽
旧马沿用了原型远控的TCP反弹连接协议,因此主控端需要具有IP地址,某些应用环境下必须是公网IP地址,因此具有泄漏木马使用者身份的风险
* 功能有限
原型木马设计更像灰鸽子,被控端上线以后接受控制端发送的命令,然后将结果发送回控制端。旧马虽然努力改变这一设计,但受限于原型木马的框架,大的功能改动显得力不从心。
由于原型木马的先天缺陷,导致了旧马各方面难以弥补的不足,因此一个新的继任木马的需求也就被提出来了。
DCM木马的诞生
这个继任者的设计理念包括一下几点:
* 无进程无窗口
该木马的受害者不能明显察觉到任何异样
* 长期免杀
杀毒软件与防火墙不能发现和拦截,包括木马的安装过程,以及安装成功以后的长期运行
* 不泄漏使用者信息
必须保障该木马控制者身份的绝对安全,任何情况下都不能泄漏控制者的 IP 地址、域名或者其他任何有价值的身份信息。即使样本被杀毒软件厂商获取并分析,也无法得知控制者的确切身份。
* 完全自动化
无需人工介入,根据事先的配置设置,全自动窃取信息并回传。没有网络连接的情况下要保存获取的信息,发现可用网络连接后进行回传。
经过几个月的设计与开发,这个继任者木马诞生了。
该木马的功能与特点已经没有必要在这里赘述了,网上的分析文章写的清清楚楚,总结下来就是自动记录并发送被感染电脑上的一切隐私内容。
DCM木马的感染方式
其实该木马本身是不会主动传播的,它的设计就是潜伏并回传数据。它的传播是依赖另外几套系统来实现的(以下统称传播系统),而且这些传播方式也并不局限与传播DCM木马。这些传播系统的传染方式当然也不仅局限于分析文章里所提到的替换正常软件自动更新文件的方式。此外,该木马仅用于特定目标人群的”定点打击“,并不会大量传播。
* 正规软件的update自动更新
在网上的分析文章里已经写了,通过替换正常软件的自动更新网络数据,使这些软件下载木马并执行。这是这款高级木马感染用户电脑的主要方式,共匪公安系统有权限和资源控制网络上的个别路由器,一旦用户的Windows系统自动下载系统更新软件,如从Microsoft.com站点下载update包,中间路由器就能识别并替换成捆绑DCM木马的带毒update包,用户下载了有问题的更新包后不会觉察,系统按正常程序自动更新,电脑即中马,很多正规软件都直接运行在管理员模式下,还帮木马省去了提权的麻烦。
* 下载可执行文件捆绑
被列入”定点打击“的电脑如果下载了不超过一个预设大小的EXE文件,则传播系统会将木马捆绑在这些正常的EXE文件上,而且并不会破坏原有可执行文件。用户一旦运行了下载的EXE文件就会被感染。
* 压缩文件感染
被列入”定点打击“的电脑如果下载了一个符合某些条件的压缩文件,则传播系统会根据配置将木马插入压缩文件中,替换掉压缩文件中的可执行文件,或者替换掉整个压缩文件,从而实现感染目标主机的目的。
* 浏览器劫持感染
这个感染方式比较极端,只有少量情况下会使用。当该感染方式启动时,用户电脑无法正常浏览部分甚至全部网站,浏览器会被重定向到一个钓鱼页面,要求用户安装”浏览器插件”或者“必要更新”一类的内容,从而诱导甚至强迫用户安装木马。
DCM木马相关的其他木马项目
毫无疑问DCM是针对Windows平台的木马,然而这并不表示其他平台就是安全的,现也在研发针对苹果系统和Linux系统的版本,还有针对智能手机的版本。
从DCM木马的通信方式上来说,最早是篡改DNS查询包,把数据加在查询microsoft.com域名的DNS请求中,最近两年新的改进木马,改为直接查询baidu.com,sina.com,163.com等国内主要网站,因国内用户一般都习惯访问这几个网站,数据更容易拿到,也不易引起怀疑。新的版本也采用“双管齐下”的手法保证数据的截获,即途径一是使用网络中途的转发路由器截获DNS查询数据包,途径二是直接控制百度、新浪、网易这些公司的服务器,在这些终端服务器上获取数据。共匪公安部门在上述大型网络公司里都安插有眼线网管,这些网络管理员一般通过内部关系被安插入这些网络公司,网络公司的高管对之或知情或不知情,对共匪的监控手段早已习惯,无法不配合共匪公安部门的工作。
2011年时该木马构造一个DNS数据包,包头是DNS查询microsoft.com的子域名,payload则是另一个封装的数据包,其中包括文件名、文件大小、分片序号以及LZMA压缩后的实际数据内容。木马会将该数据包发往微软的一个IP地址,并根据网络上行带宽控制发送速度。由于目标 IP 地址并不是一个有效的DNS服务器,所以木马不会收到任何回复数据。之所以发往微软的IP 地址,是因为以下几方面考虑:
* 国外IP
选择一个国外的IP地址会确保数据包通过城市出口,省出口以及中国的互联网国际出口,因此大幅提高我们截取到这些DNS数据包的成功率,而且当用户携带被感染的笔记本电脑等便携式设备到其他没有布防的省市时,我们仍然可以从国际出口的UDP 53上行数据中截获所需的数据。
* 降低可疑度
Windows操作系统自身原本就会发送大量的关于microsoft.com域名的DNS请求,包括自动更新、错误报告等诸多功能,都会发往微软。因此我们也伪装成相似的DNS请求,从而降低数据包的可疑度,即使触发了防火墙的报警,用户仍然有很大概率选择放行。
* 微软不是中国的“敌对势力”
起始最初木马设计者曾经设置将数据发往Google,但共匪公安系统认为Google是“境外敌对势力”,将这些敏感数据发往Google是绝不可接受的。于是经过讨论,设计者认为微软本身作为操作系统的开发者,原本就有大量的隐私数据被发往微软,也不在乎再加一点。而且一旦此事真的被大家发现了,安全专家开始关注这个木马(就像现在这样),微软还可以成为一个合理的“怀疑对象”,顺理成章的把我们的责任推到微软的头上。
数据包的重组则依赖于多层网络探针设备,前面已经说过了,这个木马的背后是共匪公安系统,因此他们获得这些DNS数据包的渠道是非常广泛的。以一个家庭用户为例,有以下节点可供共匪公安系统获取这些数据:
* 运营商提供的宽带路由器或Modem
部分型号是有预留后门的,可以直接远程激活。即使用户家中的路由和Modem没有后门,在确实必要的情况下共匪公安机关会干扰用户的网络,迫使用户主动联系运营商进行维修,然后派人伪装成运营商工作人员去“维修”用户家中的设备甚至直接建议用户更换设备(设备老化之类的借口)除此之外,共匪公安机关还会在局域网内通过主动的扫描以及被动的监听等方式,来采集局域网内设备的信息,尤其是无线设备的信息。
* 小区交换机
很多小区有自己的网络交换机,共匪公安机关会派员直接在网络交换机柜里加装小型低功耗设备,将用户的网络数据镜像出来,并储存在设备的硬盘中或转发到其他IP地址。如果使用转发模式,可能会复用用户的宽带网络,反正用户在自己家里抓包监测网络通讯是绝对看不到任何异常的。
* ISP 机房
不用解释了,大家都知道怎么回事。ISP机房的好处是设备的功耗和体积没有限制,可以做更多的事。缺点是插拔网线时会导致用户的网络暂时中断,而且ISP机房又只在工作时间向共匪其他机关部门开放,所以偶尔可能会被用户察觉到网络和电话突然中断几十秒到几分钟。
* 当地的公安机房
ISP会将部分数据镜像给共匪公安机关,主要是TCP 80上行和UDP 53上行,因为这两个端口的上行数据量都不大,而且包含了我们所关心的大部分信息。这也是DCM木马选择使用DNS数据包的原因之一。
* 城市出口
一线二线的大城市的互联网出口几乎都有共匪公安系统的监控设备,但2011年时中小城市的覆盖率则相对较低,现在的覆盖率恐怕已经包含了大部分互联网发达的三级城市了。
* 省际出口
国内所有的省级互联网出口都有大量的网络探针设备,其中有一部分属于共匪公安系统的,也有一些是其他共匪其它机关部门的。
* 国际出口
其实国际出口是被信息产业部控制的,共匪的公安系统没有办法直接访问,只有特例在有需要的情况下,需联系信息产业部,才可拿到镜像数据,但程序比较繁琐,这可以作为最后一个机会。
这里面有些层级是会暂时或长期地保留数据的,比如公安机房和国际出口,数据会被选择性的存储下来,供日后查阅。
不过那篇对该木马分析的文章里找到IP地址是百度之类的国内IP,估计和最近几年的政策变动有关系。也许微软也成为了境外“敌对势力”之一,从微软的OneDrive服务被墙就可以看出,共匪对于微软也是不信任或者不完全信任的态度。
腾讯电脑管家虽然误打误撞,发现并成功分析了这款高级木马,但也不是说腾讯的安全产品就可以信任,共匪官方的势力派系众多,利益纠葛混乱,很可能腾讯的安全软件查杀了某个木马,却给用户安装上另一款自己研发的独特木马,国产的任何软件均不可信任!
——转自革命前夜
1)木马功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。
2)木马对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安全软件。
3)木马感染方式特别,通过网络劫持进行感染,主要劫持主流软件的自动更新程序,当这些软件联网下载更新程序时在网络上用木马替换,导致用户无感中毒。
4)木马通讯方式特别,木马将数据封装成固定包头的DNS协议包,发送到大型网站来实现数据传输,此方法可以绕过几乎全部的防火墙,但是黑客要截取这些数据,必须在数据包的必经之路上进行嗅探拦截,结合木马的感染方式,可以推测出在受害者网络链路上存在劫持。
5)木马攻击范围较小,针对性强,且持续时间长达数年,符合APT(长期持续性威胁)攻击的特性。
关于这个叫DCM的木马,全称Deep Censorship Messenger,即深度检测信使,被外界称为“黑暗幽灵”,设计和开发团队大概10人左右,团队成员现在分布在全国各地多家不同行业的网络技术公司。项目完成后,公安部拿走了原码,在此基础上又自行改进更新,这几年已有多个变种。该木马的功能和所需资源,绝非民间黑客所能为,而是国家级、政府级的木马。
DCM木马的前世
这个木马确实和中国政府有关系,属于一款特殊用途的专用木马,用于监控和侦查取证民运和异议人士,客户是公安部国内安全保卫局。
这个木马的项目开始时间大概是2011年,目的是作为当时一个在役的木马(以下简称旧马)的继任者。之所以需要一个旧马的继任者,是因为旧马是基于一款开源的远程控制软件(以下简称原型远控)修改而成的。旧木马主要有以下几方面的缺点:
* 免杀困难
原型远控在黑客圈子里比较知名,基于它的木马变种非常多。因此杀毒软件对它的查杀力度很大,免杀难度相对较高,保持的时间也较短,经常需要更新。
* 不够隐蔽
旧马沿用了原型远控的TCP反弹连接协议,因此主控端需要具有IP地址,某些应用环境下必须是公网IP地址,因此具有泄漏木马使用者身份的风险
* 功能有限
原型木马设计更像灰鸽子,被控端上线以后接受控制端发送的命令,然后将结果发送回控制端。旧马虽然努力改变这一设计,但受限于原型木马的框架,大的功能改动显得力不从心。
由于原型木马的先天缺陷,导致了旧马各方面难以弥补的不足,因此一个新的继任木马的需求也就被提出来了。
DCM木马的诞生
这个继任者的设计理念包括一下几点:
* 无进程无窗口
该木马的受害者不能明显察觉到任何异样
* 长期免杀
杀毒软件与防火墙不能发现和拦截,包括木马的安装过程,以及安装成功以后的长期运行
* 不泄漏使用者信息
必须保障该木马控制者身份的绝对安全,任何情况下都不能泄漏控制者的 IP 地址、域名或者其他任何有价值的身份信息。即使样本被杀毒软件厂商获取并分析,也无法得知控制者的确切身份。
* 完全自动化
无需人工介入,根据事先的配置设置,全自动窃取信息并回传。没有网络连接的情况下要保存获取的信息,发现可用网络连接后进行回传。
经过几个月的设计与开发,这个继任者木马诞生了。
该木马的功能与特点已经没有必要在这里赘述了,网上的分析文章写的清清楚楚,总结下来就是自动记录并发送被感染电脑上的一切隐私内容。
DCM木马的感染方式
其实该木马本身是不会主动传播的,它的设计就是潜伏并回传数据。它的传播是依赖另外几套系统来实现的(以下统称传播系统),而且这些传播方式也并不局限与传播DCM木马。这些传播系统的传染方式当然也不仅局限于分析文章里所提到的替换正常软件自动更新文件的方式。此外,该木马仅用于特定目标人群的”定点打击“,并不会大量传播。
* 正规软件的update自动更新
在网上的分析文章里已经写了,通过替换正常软件的自动更新网络数据,使这些软件下载木马并执行。这是这款高级木马感染用户电脑的主要方式,共匪公安系统有权限和资源控制网络上的个别路由器,一旦用户的Windows系统自动下载系统更新软件,如从Microsoft.com站点下载update包,中间路由器就能识别并替换成捆绑DCM木马的带毒update包,用户下载了有问题的更新包后不会觉察,系统按正常程序自动更新,电脑即中马,很多正规软件都直接运行在管理员模式下,还帮木马省去了提权的麻烦。
* 下载可执行文件捆绑
被列入”定点打击“的电脑如果下载了不超过一个预设大小的EXE文件,则传播系统会将木马捆绑在这些正常的EXE文件上,而且并不会破坏原有可执行文件。用户一旦运行了下载的EXE文件就会被感染。
* 压缩文件感染
被列入”定点打击“的电脑如果下载了一个符合某些条件的压缩文件,则传播系统会根据配置将木马插入压缩文件中,替换掉压缩文件中的可执行文件,或者替换掉整个压缩文件,从而实现感染目标主机的目的。
* 浏览器劫持感染
这个感染方式比较极端,只有少量情况下会使用。当该感染方式启动时,用户电脑无法正常浏览部分甚至全部网站,浏览器会被重定向到一个钓鱼页面,要求用户安装”浏览器插件”或者“必要更新”一类的内容,从而诱导甚至强迫用户安装木马。
DCM木马相关的其他木马项目
毫无疑问DCM是针对Windows平台的木马,然而这并不表示其他平台就是安全的,现也在研发针对苹果系统和Linux系统的版本,还有针对智能手机的版本。
从DCM木马的通信方式上来说,最早是篡改DNS查询包,把数据加在查询microsoft.com域名的DNS请求中,最近两年新的改进木马,改为直接查询baidu.com,sina.com,163.com等国内主要网站,因国内用户一般都习惯访问这几个网站,数据更容易拿到,也不易引起怀疑。新的版本也采用“双管齐下”的手法保证数据的截获,即途径一是使用网络中途的转发路由器截获DNS查询数据包,途径二是直接控制百度、新浪、网易这些公司的服务器,在这些终端服务器上获取数据。共匪公安部门在上述大型网络公司里都安插有眼线网管,这些网络管理员一般通过内部关系被安插入这些网络公司,网络公司的高管对之或知情或不知情,对共匪的监控手段早已习惯,无法不配合共匪公安部门的工作。
2011年时该木马构造一个DNS数据包,包头是DNS查询microsoft.com的子域名,payload则是另一个封装的数据包,其中包括文件名、文件大小、分片序号以及LZMA压缩后的实际数据内容。木马会将该数据包发往微软的一个IP地址,并根据网络上行带宽控制发送速度。由于目标 IP 地址并不是一个有效的DNS服务器,所以木马不会收到任何回复数据。之所以发往微软的IP 地址,是因为以下几方面考虑:
* 国外IP
选择一个国外的IP地址会确保数据包通过城市出口,省出口以及中国的互联网国际出口,因此大幅提高我们截取到这些DNS数据包的成功率,而且当用户携带被感染的笔记本电脑等便携式设备到其他没有布防的省市时,我们仍然可以从国际出口的UDP 53上行数据中截获所需的数据。
* 降低可疑度
Windows操作系统自身原本就会发送大量的关于microsoft.com域名的DNS请求,包括自动更新、错误报告等诸多功能,都会发往微软。因此我们也伪装成相似的DNS请求,从而降低数据包的可疑度,即使触发了防火墙的报警,用户仍然有很大概率选择放行。
* 微软不是中国的“敌对势力”
起始最初木马设计者曾经设置将数据发往Google,但共匪公安系统认为Google是“境外敌对势力”,将这些敏感数据发往Google是绝不可接受的。于是经过讨论,设计者认为微软本身作为操作系统的开发者,原本就有大量的隐私数据被发往微软,也不在乎再加一点。而且一旦此事真的被大家发现了,安全专家开始关注这个木马(就像现在这样),微软还可以成为一个合理的“怀疑对象”,顺理成章的把我们的责任推到微软的头上。
数据包的重组则依赖于多层网络探针设备,前面已经说过了,这个木马的背后是共匪公安系统,因此他们获得这些DNS数据包的渠道是非常广泛的。以一个家庭用户为例,有以下节点可供共匪公安系统获取这些数据:
* 运营商提供的宽带路由器或Modem
部分型号是有预留后门的,可以直接远程激活。即使用户家中的路由和Modem没有后门,在确实必要的情况下共匪公安机关会干扰用户的网络,迫使用户主动联系运营商进行维修,然后派人伪装成运营商工作人员去“维修”用户家中的设备甚至直接建议用户更换设备(设备老化之类的借口)除此之外,共匪公安机关还会在局域网内通过主动的扫描以及被动的监听等方式,来采集局域网内设备的信息,尤其是无线设备的信息。
* 小区交换机
很多小区有自己的网络交换机,共匪公安机关会派员直接在网络交换机柜里加装小型低功耗设备,将用户的网络数据镜像出来,并储存在设备的硬盘中或转发到其他IP地址。如果使用转发模式,可能会复用用户的宽带网络,反正用户在自己家里抓包监测网络通讯是绝对看不到任何异常的。
* ISP 机房
不用解释了,大家都知道怎么回事。ISP机房的好处是设备的功耗和体积没有限制,可以做更多的事。缺点是插拔网线时会导致用户的网络暂时中断,而且ISP机房又只在工作时间向共匪其他机关部门开放,所以偶尔可能会被用户察觉到网络和电话突然中断几十秒到几分钟。
* 当地的公安机房
ISP会将部分数据镜像给共匪公安机关,主要是TCP 80上行和UDP 53上行,因为这两个端口的上行数据量都不大,而且包含了我们所关心的大部分信息。这也是DCM木马选择使用DNS数据包的原因之一。
* 城市出口
一线二线的大城市的互联网出口几乎都有共匪公安系统的监控设备,但2011年时中小城市的覆盖率则相对较低,现在的覆盖率恐怕已经包含了大部分互联网发达的三级城市了。
* 省际出口
国内所有的省级互联网出口都有大量的网络探针设备,其中有一部分属于共匪公安系统的,也有一些是其他共匪其它机关部门的。
* 国际出口
其实国际出口是被信息产业部控制的,共匪的公安系统没有办法直接访问,只有特例在有需要的情况下,需联系信息产业部,才可拿到镜像数据,但程序比较繁琐,这可以作为最后一个机会。
这里面有些层级是会暂时或长期地保留数据的,比如公安机房和国际出口,数据会被选择性的存储下来,供日后查阅。
不过那篇对该木马分析的文章里找到IP地址是百度之类的国内IP,估计和最近几年的政策变动有关系。也许微软也成为了境外“敌对势力”之一,从微软的OneDrive服务被墙就可以看出,共匪对于微软也是不信任或者不完全信任的态度。
腾讯电脑管家虽然误打误撞,发现并成功分析了这款高级木马,但也不是说腾讯的安全产品就可以信任,共匪官方的势力派系众多,利益纠葛混乱,很可能腾讯的安全软件查杀了某个木马,却给用户安装上另一款自己研发的独特木马,国产的任何软件均不可信任!
——转自革命前夜
1 篇帖子
• 分页: 1 / 1
