2024年12月18日，国家互联网应急中心CNCERT发布公告，披露了两起美国针对我国大型科技企业机构的网络攻击事件。本次报告将详细阐述其中一起针对我国某智慧能源与数字信息领域大型高科技企业的网络攻击事件，旨在为全球相关国家及单位提供防范美国网络攻击的借鉴。

一、网络攻击流程解析

（一）邮件服务器漏洞入侵

该高科技企业采用微软Exchange邮件系统，却不幸成为攻击者的目标。攻击者利用两个微软Exchange漏洞，首先通过任意用户伪造漏洞对特定账户实施攻击，随后利用反序列化漏洞进一步入侵，最终得以执行任意代码。

（二）内存木马植入

为避免被察觉，攻击者在邮件服务器中精心植入了两个高度隐蔽的内存木马，这些木马仅在内存中运行，不留下硬盘存储痕迹。它们利用虚拟化技术，设置了虚拟访问路径，并具备敏感信息窃取、命令执行和内网穿透等功能。内网穿透程序通过混淆技术躲避安全软件检测，将攻击者流量转发至其他目标设备，实现对内网其他设备的攻击。

（三）内网设备攻击与数据窃取

攻击者以邮件服务器为跳板，利用内网扫描和渗透技术，在内网中建立了隐蔽的加密传输隧道。通过SSH、SMB等方式，攻击者成功登录并控制了该公司30余台重要设备，包括个人计算机、服务器和网络设备等。为实现持久控制，攻击者在相关服务器和网络管理员计算机中植入了能够建立websocket+SSH隧道的攻击窃密武器，伪装成微信相关程序，以降低被发现的风险。此外，攻击者还植入了两个利用PIPE管道进行进程间通信的模块化恶意程序，构建了通信管道。

二、商业秘密信息窃取

（一）敏感邮件数据泄露

攻击者利用邮件服务器管理员账号，执行了邮件导出操作，目标直指公司高层管理人员和重要部门人员的邮件。攻击者精心设置了导出邮件的时间区间，以减少窃密数据传输量，降低被发现的风险。

（二）核心网络设备账号及配置信息被盗

攻击者通过控制网络管理员计算机，频繁窃取公司核心网络设备的账号及配置信息。例如，攻击者曾以德国代理服务器为跳板，入侵邮件服务器后，进一步攻击网络管理员计算机，成功窃取了包括网络核心设备配置表、网络拓扑等敏感文件。

（三）项目管理文件失窃

攻击者通过对代码服务器、开发服务器等的攻击，频繁窃取公司开发项目数据。例如，攻击者曾以芬兰代理服务器为跳板，攻击控制邮件服务器后，频繁访问已植入的后门攻击武器，窃取数据高达1.03GB。该后门程序伪装成开源项目文件，以逃避检测。

（四）攻击痕迹清除与反取证分析

为掩盖行踪，攻击者每次攻击后都会清除计算机日志中的攻击痕迹，并删除临时打包文件。同时，攻击者还会查看系统审计日志、历史命令记录等，意图分析机器被取证情况，对抗网络安全检测。

三、攻击行为特点剖析

（一）攻击时间选择

分析发现，此次攻击活动主要集中在北京时间22时至次日8时，即美国东部时间的白天10时至20时。攻击行为主要发生在美国工作日的星期一至星期五，而在美国主要节假日则未出现攻击。

（二）攻击资源丰富

在2023年5月至10月期间，攻击者发起了30余次网络攻击，每次攻击使用的境外跳板IP基本不重复，显示出其高度的反溯源意识和丰富的攻击资源储备。

（三）攻击武器先进

攻击者植入的模块化恶意程序位于系统目录下，使用了.net框架，并采用了TLS加密技术。邮件服务器内存中植入的攻击武器功能强大，包括敏感信息窃取、命令执行和内网穿透等。在相关服务器和网络管理员计算机中植入的攻击窃密武器则使用https协议，能够建立websocket+SSH隧道，实现与攻击者控制的域名的回连。

四、部分跳板IP列表

（文章来源：每日经济新闻）