我们一直在“裸泳”-非专业的聊一聊西工大遭境外网络攻击

6月，陕西省西安市公安局碑林分局发布警情通报，证实在西北工业大学的信息网络中发现了多款源于境外的木马样本。国家计算机病毒应急处理中心和360公司联合组成技术团队初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（TAO）。

根据官方公布的攻击事件概貌，我们非专业的聊一聊里面涉及的细节。

关于“肉鸡”

官媒：“TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具，选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标，安装NOPEN木马程序，控制了大批跳板机。”“跳板机”就是我们平常所说的“肉鸡”。肉鸡就是受黑客控制的电脑。

据国家互联网应急中心的数据分析，2022年1月15日至2月22日，BlackMoon僵尸网络日上线肉鸡数最高达到21万台，累计感染肉鸡数达到237万，几乎均为境内主机。为什么中国满地的“肉鸡”？因为，我们网络“小白”太多了，网民大多缺乏防范意识，加上网络上的诱惑又太多，一张附木马图片，一个藏木马的小程序，就可以收割无数“肉鸡”。

为什么要用肉鸡？攻击者利用“肉鸡”来对目标机发送攻击指令，可以隐蔽其行踪。当然，溯源是可以做到的，但是，如果攻击方采用多重国外跳板，那么溯源是一个极其艰难的过程。“做了坏事，你抓不到”就是这个道理。

关于IP地址和根服务器

既然是网络攻击，就绕不开IP地址和根服务器。

互联网中每一台计算机都有一个类似于身份证号码的字符串，叫“IP地址”。IP地址由IANA进行分配，IANA是互联网的管理员。

全球IP地址众多，大家不可能全部记得住，那么就要用到DNS（域名系统），通过相应名字找到相应的IP。根域名服务器是DNS中最高级别的域名服务器。所以，谁掌握“根服务器”，谁就对网络有最终解析权。

现有的服务器，全球仅有13台。由1个主根服务器和12个辅根服务器组成，美国互联网机构运行主根服务器，剩余的辅根服务器，9个在美国，2个在欧洲，1个在亚洲。

自从根服务器成立以来，世界各国对美国互联网的依赖日渐增大，因为根服务器的特殊原因，国际互联网的工作机理离不开它。任何形式的标准域名想要被实现解析，都必须经过全球“层级式”域名解析体系的工作流程才能完成。而根服务器就是这第一层。也就是说美国的服务器掌握着全世界域名解析是否能够顺利完成。

关于网络攻击

官宣：“TAO在对西北工业大学的网络攻击行动中，先后使用了41种NSA的专用网络攻击武器装备。”其实，采用哪种工具对目标机进行攻击，主要取决于目标机的操作系统和漏洞的实际情况，手法大同小异，流程大同小异。一般是。

1.隐藏自己的行踪。攻击者要神不知鬼不觉地侵入到目标计算机，在入侵攻击之前都会对自己做个伪装。攻击之前，会对自己真实的IP地址隐藏，多数会利用“肉鸡”来做跳板，隐藏自己真实的IP地址。

2.查询分析目标计算机。先要确定目标机在网络中的IP地址或域名。确定后，对其所用的操作系统进行分析，扫描存在漏洞，确定攻击工具和手法。

3.获取访问和控制权限。获得目标计算机的权限用户是攻击入侵的最基本手段，攻击者要先设法盗取目标计算机的账户文件进行破解，来得到权限用户的帐号和密码，再以此身份登录到目标计算机。进一步可能取得超级管理员的权限，完全控制目标机。

4.留下后门和清除记录。攻击完后，一般会留下后门和清除记录是可以方便攻击者以后不被察觉地再次入侵该目标主机。

5.窃取目标计算机资源。成功入侵目标计算机后，该计算机的所有资料都呈现在攻击者的面前，可以下载有用的资料。

6.拒绝服务攻击。如果攻击者未能成功地获取访问权限，多数的攻击者都会放弃继续入侵，也有少部分具有恶意的攻击者会进行拒绝服务攻击，用漏洞代码攻击系统使目标计算机的服务资源耗尽或者资源过载，以致没有能力再向内外服务。