iSOON泄密事件：探索一体化作战平台

2024年2月，网络安全社区获得了一份未经授权的公开信息披露，前所未有地揭示了中国政府使用的一些对抗性工具和战术，以及针对国际公司和政府部署的特定活动和能力。这些数据来自一家名为iSoon（又称安洵）的中国私营公司，该公司向多个中国政府实体出售其工具和服务。泄露的数据主要包括2022年的文档和聊天日志，虽然信息丰富，但在深入的技术细节和证据方面并不完整。然而，其中一份44页的白皮书非常有趣地展示了一款用于管理和执行网络行动的工具——一体化作战平台。以下基于可用信息，精选了该平台声称的能力、设计和功能亮点，并提供了我们的分析。（以下截图直接取自泄露数据。我们按原样提供它们以提供上下文，并在文本中详细说明了有趣元素以弥补低分辨率。）

摘要

图1 - 一体化作战平台快照

亮点

以下是一体化作战平台的一些关键要点：

• 它是一个标准化的网络活动资源、协作和任务管理平台，专为iSoon和公安部（MPS）设计。
• 一体化作战平台涵盖内部和外部应用及网络。内部应用主要用于任务和资源管理。外部应用旨在执行网络操作。
• 该平台为各种利益相关者（高层管理和业务实体、运营等）提供每个任务和整体操作员绩效的数据。它还有一个奖励管理系统，为每个完成的任务授予操作员积分。管理利益相关者可以审查操作员的绩效并评论他们的工作。
• 用于网络活动的外部应用和系统具有特定的规避能力，以避免检测并阻碍响应和归因，例如自毁、证据清除以及使用非中文语言和时区来帮助混淆操作员的位置和国籍。
• 漏洞利用/有效载荷从平台存储和管理。
• 内部和外部应用上都提供沙箱环境，用于分析黑客工具和从感兴趣目标外泄的数据。
• 内部应用用于维护社区知识库，供操作员分享关于工具、漏洞和社会工程方法的经验和技巧。
• 该应用可以部署、管理并安全地停用用于网络活动的虚拟专用服务器（VPS）系统。

一体化作战平台（一体化作战平台）

一体化作战平台是由iSoon开发的进攻性网络活动管理平台，被该公司用于自己的活动，并出售给公安部。这个单一平台使他们能够标准化并提高服务集成、资源效率、团队协作和平台安全性。

该平台由两个应用（一个内部和一个外部应用）组成，分别位于两个私有网络之间，有一个防火墙分割这两个网络。内部应用被称为一体化作战内网平台，外部应用被称为一体化作战外网平台。这两个应用看起来非常相似，但具有不同的功能和角色。内部网络包括内部应用和命令与控制（C2）终端，通过加密的带外连接向外部C2终端发送加密命令。外部应用和私有网络用于隐藏操作员身份，并通过匿名注册的虚拟专用服务器（VPS）直接攻击活动，这些VPS通过可能不知情的主机提供商购买，允许攻击活动隐藏在噪音中。外部应用管理VPS、有效载荷和漏洞利用，以及用于网络活动的链接生成。在到达目标主机之前，通过代理层（可能是Tor或类似服务）匿名化互联网连接以隐藏踪迹。

为公安部构建

该平台的主要用户是公安部的TZ网络单位。泄露文档中TZ是“特别侦察”的缩写，基于以下上下文：

以下是一篇在搜狐网上可找到的2018年新疆公安厅特别侦察单位的旧招聘文章，提到了这类单位的标题：

白皮书还指出，平台的外部网络不能包含任何个人可识别信息（PII）。以下是几种禁止的PII类型，包括“公安官员编号”：

这表明该平台可能被公安部用于进攻性网络操作，并且他们希望防止任何潜在的识别和归因向量。

反侦察设计

白皮书指出，该平台具有各种“最佳实践”安全设计原则，以确保平台的完整性，例如静态和传输中数据加密、定期安全测试、系统和漏洞监控以及补丁管理。然而，最有趣的安全元素是外部网络元素中的反侦察设计功能，包括：

• 使用长且随机的外部平台登录主机名。
• 使用不相关的系统主机名。
• 平台被伪装以防止猜测登录地址。
• 外部平台上的所有信息必须与iSoon业务/服务无关，包括文本、徽标、功能和书签。
• 平台代码中不能存在开发和开发人员相关信息。发布前需要代码审计和安全测试。
• 平台不存储任何与操作员相关的信息或记录任何使用历史。
• 平台开发、网络提供商注册和VPS托管必须匿名进行以隐藏身份。系统、语言、时区、系统环境、输入法都必须配置为使用非中文语言。
• 如果平台被检测到或系统被入侵，外部平台会断开互联网连接并启动自毁过程。

自毁功能似乎是先前识别的用于针对异议人士的中国间谍软件中的常见功能：

• https://cyberscoop.com/researchers-uncover-latest-version-chinese-spyware-used-target-dissidents/
• https://thehackernews.com/2014/04/Spyware-german-aerospace-center-cyber-espionage.html

一体化作战内网平台

内网平台似乎主要专注于任务和资源管理。它维护一个社区知识库和自己的安全沙箱环境，用于分析检索到的文件。

任务管理

内部应用提供任务管理功能，供领导（上级）创建、审查、批准、（重新）分配、评论和分发任务给操作员。以下是创建任务页面的截图，包含以下输入字段：任务名称、描述、任务持续时间、任务模板、团队（每个城市可以有多个团队）、分配的服务器：

下一张截图是任务详情仪表板，顶部包含以下标签：任务信息标签、注释标签、文件管理标签、漏洞标签、访问权限标签、服务器标签。然而，此页面上的数据是模拟数据以演示产品：

任务可以由上级批准或拒绝，并可以分配给不同城市的团队执行：

该平台还包含评分管理功能，可以为每个完成的任务授予积分，并显示每个操作员获得的积分以进行绩效评估。

仪表板还可以向领导提供关于操作员专业领域和分配给每个任务的资源的统计数据和分析。

知识库管理

操作员的技巧和战术、技能、工具使用和经验可以在内置在内部平台中的内部知识库中共享和分类。以下截图是技巧和战术知识库标签：

上图技巧和战术知识库标签中显示的类别列表（从左上开始）是：Web应用渗透、内网渗透、终端渗透、反侦察/检测、Web应用控制和绕过、漏洞发现和利用、数据分析、规避、密码破解、智能分析、网络侦察。白皮书确实显示了一个实际的知识库页面，但截图中的文本由模拟数据组成。

一体化作战外网平台

外网平台主要是一个网络操作管理平台，供操作员执行攻击操作。它提供操作员部署、管理和安全停用用于网络活动的VPS的能力，管理操作员使用的工具和漏洞利用，并跟踪任务注释、漏洞和服务器。

武器管理

武器管理功能是一个军火库，允许操作员导入、搜索、显示和跟踪他们的工具。它还具有版本控制功能，以保留旧工具的副本并管理更新。至于iSoon和MPS团队使用或可用的工具类型，白皮书中未讨论此信息。

安全沙箱

内部和外部应用都有自己的安全沙箱环境，用于识别工具或从目标检索的文件/数据中的任何潜在恶意软件。外部应用上的武器沙箱环境提供与内部安全沙箱环境相同的功能。后者用于检查传输回内部应用的被盗数据，以防止蜜罐攻击或特洛伊木马。沙箱环境功能包括：

• 文件分析：可执行文件、DLL、PDF、Office文档、URL、zip存档等。
• Win32 API检查以检测恶意活动。
• 应用程序行为分析以检测恶意意图。
• 进程图流分析（反汇编器图）。
• PCAP*数据包捕获分析。
• 检测恶意屏幕截图和文件修改。

*白皮书中PCAP拼写错误为“PACP”。

结论

一体化作战平台文档提供了窥视外国对手如何运行网络操作以及他们如何协调和管理团队、业务和基础设施的一瞥。这篇博客文章仅总结了白皮书中的亮点和有趣事实，并非对原始文档的全面翻译和分析。