2025年1月17日,星期五,国家互联网应急中心CNCERT发布了两份调查报告,详细披露了美国对我国某先进材料设计研究院和某智慧能源与数字信息高科技企业的网络攻击事件。攻击者通过多种技术手段实施入侵,展现了高水平APT(高级持续性威胁)组织的特征。
在先进材料设计研究院事件中,攻击者利用电子文件系统的注入漏洞获取管理员权限,随后植入内存木马和后门程序,窃取敏感数据。攻击者还通过软件升级功能向276台主机植入木马,精准窃取与工作内容相关的文件,共窃取4.98GB的商业机密和知识产权文件。
在智慧能源企业事件中,攻击者利用微软Exchange邮件系统的漏洞入侵邮件服务器,植入内存木马和内网穿透工具,进一步控制30余台重要设备,窃取邮件数据、核心网络配置和项目管理文件。攻击者还通过伪装成微信程序的开源工具逃避检测,并清除攻击痕迹以对抗取证。
两份报告均指出,攻击者具备高度隐蔽性、反溯源能力和丰富的攻击资源。攻击时间集中在北京时间22时至次日8时(美国东部时间白天),跳板IP遍布德国、罗马尼亚、芬兰等地,显示出攻击者的组织性和计划性。
问题提出
众所周知,网络攻击事件的溯源取证是一件高难度、高水平、高专业水准要求的工作,及其具有挑战性。CNCERT的两份报告是当前对抗美方对我大肆攻击窃密的一记重拳,既要体现专业性、技术性,还需要考虑通俗性和广谱性,因而难免顾此失彼。由此,我们想让目前流行的几个AI大模型来分析和评价一下两份报告的水位或缺失。提出的问题如下:
假如你是一名经验丰富、资深的独立网络安全研究员,专注于网络攻击追踪溯源和取证调查,请你对上述两份报告进行分析和评价。
1、报告中对攻击者的工具、技术、手法、特点的总结,是否符合全球高水平APT组织的特征?
2、报告整体上的逻辑性和严谨性如何?
3、报告是否存在明显的不足或缺陷?
4、从网络安全取证溯源专业的角度,对此类溯源、归因工作有何建议?
四个主流大模型的答案
我们将这四个问题分别丢给了kimi、deepseek、chatgpt和Grmini,得到了大致相同但还略有差异的回答。
总体来看,Kimi、DeepSeek、ChatGPT和Gemini四个大模型认为,对攻击者的工具、技术、手法和特点的总结高度符合全球高水平APT(高级持续性威胁)组织的特征,具体体现在以下几个方面:
高度隐蔽性和反溯源能力:攻击者利用内存木马、虚拟化技术、开源工具伪装等手段,避免在硬盘中留下痕迹,并通过大量不重复的境外跳板IP(如德国、罗马尼亚、芬兰等)隐藏身份,展现了APT组织的典型特征。
模块化恶意程序和精准攻击:攻击者使用模块化的恶意程序,支持内网穿透、数据窃取和持久控制,具备高度的灵活性和扩展性。攻击者还针对特定目标(如高层管理人员、核心网络设备、开发项目数据)进行精准窃取,显示出明确的目标导向和精心策划的攻击策略。
攻击时间与资源丰富:攻击时间集中在北京时间22时至次日8时,即美国东部时间的白天,且攻击资源丰富,跳板IP遍布多个国家,进一步表明攻击者的组织性和资源储备。
报告整体逻辑清晰,结构严谨,技术细节丰富,提供了具体的攻击时间、跳板IP、恶意程序路径等证据,增强了报告的可信度。
然而,报告也存在一些不足:
攻击者归属缺乏直接证据:报告将攻击行为归因于“美网络攻击”,但未提供攻击者身份、组织归属或明确的国家背景,可能影响结论的可信度。
技术细节和防御建议不足:报告未深入分析恶意程序的具体实现原理,且缺乏针对性的防御建议,降低了报告的实用性。
从网络安全取证溯源的角度,大模型建议:
加强溯源和证据收集:通过恶意代码溯源、攻击资源关联分析等手段,提供更直接的攻击者归属证据,并结合威胁情报共享平台(如MITRE ATT&CK)进行深入分析。
深化技术分析和国际合作:对内存木马、模块化恶意程序等进行逆向工程分析,披露其具体实现细节,并加强与其他国家的网络安全机构合作,共同应对全球化的APT威胁。
提供防御建议和动机分析:建议补充针对此类攻击的防御措施,如加强漏洞修补、启用多因素认证、部署内存保护机制等,并结合攻击目标、窃取数据内容和攻击时间等特点,深入分析攻击者的动机。
总之,CNCERT的报告展现了高水平的技术分析能力,但在攻击者归因、技术细节和防御建议方面仍有改进空间。通过进一步完善,报告可为全球网络安全社区提供更有价值的参考。
附件:四个LLM的输出结果报告
参考资源
1、https://mp.weixin.qq.com/s/fm4Z9L0_b3w3A-QdqkB_7A
2、https://mp.weixin.qq.com/s/X-LgtrpHYQcAGqy4sgX0GQ
