本文转自：中国网
9月13日 ， 国家计算机病毒应急处理中心发布美国NSA网络武器“饮茶”分析报告 。 全文如下：
一、概述
国家计算机病毒应急处理中心在对西北工业大学遭境外网络攻击事件进行调查过程中 ， 在西北工业大学的网络服务器设备上发现了美国国家安全局（NSA）专用的网络武器“饮茶”（NSA命名为“suctionchar”）（参见我中心2022年9月5日发布的《西北工业大学遭美国NSA网络攻击事件调查报告（之一）》） 。 国家计算机病毒应急处理中心联合奇安信公司对该网络武器进行了技术分析 ， 分析结果表明 ， 该网络武器为“嗅探窃密类武器” ， 主要针对Unix/Linux平台 ， 其主要功能是对目标主机上的远程访问账号密码进行窃取 。
二、技术分析
经技术分析与研判 ， 该网络武器针对Unix/Linux平台 ， 与其他网络武器配合 ， 攻击者可通过推送配置文件的方式控制该恶意软件执行特定窃密任务 ， 该网络武器的主要目标是获取用户输入的各种用户名密码 ， 包括SSH、TELNET、FTP和其他远程服务登录密码 ， 也可根据配置窃取保存在其他位置的用户名密码信息 。
该网络武器包含“验证模块（authenticate）”、“解密模块（decrypt）”、“解码模块（decode）”、“配置模块”、“间谍模块（agent）”等多个组成部分 ， 其主要工作流程和技术分析结果如下：
（一）验证模块
验证模块的主要功能是在“饮茶”被调用前验证其调用者（父进程）的身份 ， 随后进行解密、解码以加载其他恶意软件模块 。 如图1所示 。

文章图片
（二）解密模块
解密模块是通用模块 ， 可被其他模块调用对指定文件进行解密 ， 采用了与NOPEN远控木马（参见《“NOPEN”远控木马分析报告》）类似的RSA+RC6加密算法 。 如图2所示 。

文章图片
（三）解码模块
与解密模块类似 ， 解码模块也是通用模块 ， 可以被其他模块调用对指定文件进行解码 ， 但采用了自编码算法 。 如图3所示 。

文章图片
（四）配置模块
配置模块的主要功能是读取攻击者远程投送的xml格式配置文件中的指令和匹配规则 ， 并生成二进制配置文件 ， 从而由“监视模块”和“间谍模块”调用后在受害主机上查找相关内容 。 如图4、图5所示 。

文章图片
（五）间谍模块
间谍模块的主要功能是按照攻击者下发的指令和规则从受害主机上提取相应的敏感信息并输出到指定位置 。

文章图片
（六）其他模块
在分析过程中 ， 我们还发现另外两个模块 ， 分别是配置文件生成模块和守护者模块 。 其中 ， 配置文件生成模块的功能可能是生成ini临时配置文件 ， 而守护者模块与间谍模块具有很高的代码相似性 ， 可能是为不同版本系统生产的变种 。

文章图片
三、总结
基于上述分析结果 ， 技术分析团队认为 ， “饮茶”编码复杂 ， 高度模块化 ， 支持多线程 ， 适配操作系统环境广泛 ， 包括FreeBSD、SunSolaris系统以及Debian、RedHat、Centos、Ubuntu等多种Linux发行版 ， 反映出开发者先进的软件工程化能力 。 “饮茶”还具有较好的开放性 ， 可以与其他网络武器有效进行集成和联动 ， 其采用加密和校验等方式加强了自身安全性和隐蔽性 ， 并且其通过灵活的配置功能 ， 不仅可以提取登录用户名密码等信息 ， 理论上也可以提取所有攻击者想获取的信息 ， 是功能先进 ， 隐蔽性强的强大网络武器工具 。

• 本文转自：科技日报科技日报记者 魏依晨?通讯员?王璐?郝思茜由中国铁路南昌局集团有限公司...|南铁研发“自动采蘑菇”巡检小车
• 本文转自：天目新闻9月13日凌晨|苹果更新iOS16出现闪退？官方：更新微信或卸载重装可解决
• 本文转自：新华网海信国际营销常务副总裁方雪玉近日在接受媒体采访时表示|方雪玉:海信出海正在加快推进供应链数字化
• 本文转自：新华网新华社天津9月13日电（记者周润健）天文预报显示|月球将与天王星“相遇”
• 本文转自：人民网人民网福州9月13日电 （林晓丽）9月13日上午|福建省工业企业供需对接平台上线 已累计入驻企业10924家
• 咖啡下乡，谁是卷王？
• 本文转自：中国工业报| 万伟?9月8日,2022中国工业互联网标识应用大会（中部）在江西...■中国信通院敖立：数字化转型与工业互联网的创新发展
• 本文转自：新华社海报制作：冯娟天文预报显示|星空有约｜“嫦娥”与“天王”将在天宇“邂逅”
• 本文转自：环球网【环球网科技综合报道】9月13日消息|苹果正式发布watchOS 9：支持四款新表盘
• 本文转自：海峡网中关村在线消息：9月13日|iPhone15或标配USB-C接口 2024年将大变样