中方发布美网络攻击中国高科技企业调查报告

　　中评社北京1月17日电／据国家互联网应急中心CNCERT：2024年12月18日，国家互联网应急中心CNCERT发布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html)，发现处置两起美对我大型科技企业机构网络攻击事件。本报告将公布对其中我国某智慧能源和数字信息大型高科技企业的网络攻击详情，为全球相关国家、单位有效发现和防范美网络攻击行为提供借鉴。

　　一、网络攻击流程

　　（一）利用邮件服务器漏洞进行入侵

　　该公司邮件服务器使用微软Exchange邮件系统。攻击者利用2个微软Exchange漏洞进行攻击，首先利用某任意用户伪造漏洞针对特定账户进行攻击，然后利用某反序列化漏洞再次进行攻击，达到执行任意代码的目标。

　　（二）在邮件服务器植入高度隐蔽的内存木马

　　为避免被发现，攻击者在邮件服务器中植入了2个攻击武器，仅在内存中运行，不在硬盘存储。其利用了虚拟化技术，虚拟的访问路径为/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx，攻击武器主要功能包括敏感信息窃取、命令执行以及内网穿透等。内网穿透程序通过混淆来逃避安全软件检测，将攻击者流量转发给其他目标设备，达到攻击内网其他设备的目的。