工业与网络的完美结合——量子射手 SBZ 解析

本文介绍应用于美方网络战中的量子射手（QUANTUM SHOOTER）工具。尽管资料中仍有不少未解密，但还是可以从这份简介中看出美方在工业与网络结合方面比我们领先的距离。作为一台机器，量子是对它处理数据粒度的形容，射手是对它功能用途的描述。

---

来源 | WikiInfo

编译 | 创宇智库

本文英文版 PDF 下载：Quantum Shooter SBZ Notes

综述

量子射手（QUANTUM SHOOTER）是因特网上一台被植入 STRAITBIZARRE （奇异海峡，简称 SBZ）的主机，经配置后可以通过 SURPLUSHANGAR（剩余机库）/HANGARSURPLUS（机库剩余）二极管等从 TURBINE 接收命令。

一旦某台机器被选作量子射手，就会用 FELONYCROWBAR 和作为部署节点文档（Deployed Node Document，简称 DND）的一个 XML 配置文件对 SBZ 进行配置。

FELONYCROWBAR GUI 和搭建脚本处理配置的某些方面，例如应将哪些 SBZ 模块包括进来，但仍需 DND 配置通讯链接的大多方面。对于升级情况，可以手动修改旧 DND；但对于新建情况，需要在 NCC 中生成新 DND（手动处理某些改变）。生成核心及“二进制”定制 SBZ 文件 （通常是从 FELONYCROWBAR 输出的压缩文件）后，交互操作员可将这些部署到作为射手的主机中。

架构组成

FREEFLOW <此处内容机密|尚未公开>

共有四个 FREEFLOW 操作线程（还有一个用于 PASSAGEGILL 测试）：

·A 线程，FREEFLOW 原始线程（2008 年初），与旧 ROC/MIT 隐蔽架构（FORESTPLACE/FUSSYKEEL）相关；

·B 线程，量子线程；

·C 线程，FINGERGNOME 从高到底传输；

·D 线程，FREEFLOW 2.0 新线程，与隐蔽新架构（FROZENEARTH）相关。

FREEFLOW Confluence 页面（https://confluence-nf.tao.nsa/display/ROC/FREEFLOW）有一个优质的概览页面，特别展示了旧 FREEFLOW （1.0 紫-灰色区域）和新 FREEFLOW（2.0，黄色区域）。量子线程目前是 1.O，但最终将得到升级，整个过程也将会继续。

对理解量子射手极为重要的 FREEFLOW 部件描述如下（也适用于射手搭建过程）。量子架构概览在此处得到很好展示： <此处内容机密|尚未公开>

CHIMPINEYPOOL（烟囱池）

CHIMNEYPOOL 采用 RPC 的自有版本（CHM RPC）在 FRIEZERMAP 网络堆栈 <此处内容机密|尚未公开> 进行通信。CHIMNEYPOOL 服从节点由它们的四字节 FRZ 地址指代，通常表现为十六进制。

链接为半双工通讯路径，配置后两个 CHM 节点得以相互通信。这些链接可加密或不加密且通常和允许其与 NCC（秘钥由 NCC 生成）通信的安全关联一并被 NCC DND 准确吐出。为与 TURBINE 通信，SBZ 还需配置另外两个安全关联，一个与 SURPLUSHANGAR 通信，另一个与 HANGARSURPLUS 通信。<此处内容机密|尚未公开> MIT）通常配置生成秘钥的 HS/SH 方面。接下来配置与秘钥 <此处内容机密|尚未公开> 相匹配的 SAs，此过程可通过更改 DND 或由 NCC 直接发送给 SBZ 的开发后命令实现（参见 Dave）。

关于 CHIMNEYPOOL/FRIEZERAMP 的更多通讯细节参见此处 <此处内容机密|尚未公开> 。

二极管 <此处内容机密|尚未公开>

SURPLUSHANGAR <此处内容机密|尚未公开> 到低，及 HANGARSURPLUS（低到高），每部分又分为三个方面：

·高级代理：连接至 ISLANDTRANSPORT <此处内容机密|尚未公开> 并转换为 CHIMNEYPOOL 消息；

·Packager（仅高到低）；

·低级代理：与 CHM/FRZ 通信。

GENIE 网络配置中心（NCC）

GENIE 网络配置中心（Network Configuration Center，简称 NCC）通过中间人为所有 STRAITBIZARRE 植入管理 CHIMNEYPOOL 通讯链接。NCC 上的信息通常是过时的（“新”NCC 将出现在高级代理，期待较容易更新）。对于无法修改旧配置的情况，仅需用 NCC 从 <此处内容机密|尚未公开> 或 /targets/zombiearmy 生成 DND 就可以找到操作员安放在主机中的植入。此外，NCC 还要管理这些链接。

网关（“ROC_LOW”）

Web 安全网关（Web Sniper Gateways，简称 WSGs）位于中间人和量子射手之间。此方面信息发现于一份由 <此处内容机密|尚未公开> 更新、“禁止向国外透露”的电子表格中。需对射手进行配置并通过距离最近的网关发送通讯内容——根据延迟测试结果（预计不会发生频繁变化）选择具有最低延迟时间的网关发送至射手。

TURBINE（涡轮）

Confluence TURBINE <此处内容机密|尚未公开> 页面描述了 SBZ 回调时的情景。

方法

连接至量子 NCC

WAITAUTO 主机应能同量子 NCC <此处内容机密|尚未公开> 通信。为使防火墙允许此连接，可能需要获取一张 MITHelp 通行证。

将连接至 SSH 的 Putty 用于 NCC 主机（用户名：ncc_user；用于密码管理的电子邮件 <此处内容机密|尚未公开> ）具体选项如下：

·连接-> SSH -> 点击复选框“开始 X11 转发”

·连接-> SSH -> X 显示位置：设置为 <Your WAITAUTO IP address>:O

·cd/opt/ncc/ 并运行 ./start_gui.sh. 用户名（用户 l 或用户 2）取决于使用该主机的其他人（参见上方 POC）。

从 NCC 获取一个 DND

按照参考文献中某篇文档的要求，或确认设置正确无误。

保存变动后在终端窗口运行下列代码：

cd /opt/ncc/util./build_sbz_bin.sh WebSnipe <your cover term> localhost (where "WebSnipe" is the target cover to)

最终得出的 DND 将出现在 /tmp（WebSnipe_< node cover term ＞_Deployed Node#.xml）。将其复制到拇指驱动器并上传至 RSS。

从 /targets 获取一个用于升级的 DND

检查 FELONYCROWBAR 或 /targets/ZOMBIEARMY/<node>/ops/<date>/techdata 是否在之前的 op 中出现过，不包括 DND，但包含一个可以用来收回 DND 的 XML。

发送压缩文件包至 <此处内容机密|尚未公开> ，运行 Fiptrix 工具，生成一个 DND XML 文件。

从 NCC 更新一个用于 FELONYCROWBAR 的 DND

将“implantId”成分作为首个子节点、“implantedUuid”作为末尾子节点添加进来。

添加“<sbzXfilConfig><defaultDestAddr>OO100005</defaultDestAddr></sbzXfilConfig>”。

为 HANGARSURPLUS（00 用于发送）和 SURPLUSHANGAR（02 用于接收）添加安全关联。

现在可以为 SBZ 搭建上传至 FELONYCROWBAR。

获取链接信息并修改链接

这主要利用 NCC 中的 Wrench/Screwdriver 标签“Rudy”完成。

已有 FREIZERAMP（FRZ）地址的情况如何获取 linkEndId?

Choose the appropriate send and receive nodes for your link,"Interface Provider"：Cidr,"Procedures"：

如何获取/变更链接状态？

getLinkState to check state. (1,2) indicate the link is off;  (3,4) indicate the link is on,Use Link0

如何修改链接的 IP 地址或端口？

To Change an IP address or port,choose "Interface Provider"：LinkMgr and "Procedures"：getLinkParamete    getLinkState to check state.If it's on,turn it off (LinkOff,stopLink).
setLinkParameter：enter LinkEndId and parameterId,same as above (should return success)
startLink,LinkOn to bring Link back up (should return success).
getLinkState to check state (should be on)

其他

MHS

对于 MHS 而言，不存在 HANGARSURPLUS 的情况。英国国家通讯总局（Government Communications Head Quarters，简称 GCHQ）基本上不想让其回调。他们自有一套确定射手健康状况的方法。

·禁用 CCFP，因为它要求节点通过 HANGARSURPLUS 做出回应（在 MHS 设置中不存在）。

·为保证测量质量，仅配置接收方安全关联及 UDP 链接（连接至 SBZ 的低权限代理），不配置发送方 SAs/ 链接。

·为避免发送心跳, 配置 BonjourMod。

·为避免渗出日志，配置 SbzLogMod。

·尽量不将 SbzXfilMod 包括进来，或者将渗出最小权限设置为 16。

·勿将任何默认模块（SiphonCauseway、ShinyObject 等）包括进来。

用 CHIMNEYPOOL Python 脚本（"chim.py"? ）观察测试，发出命令。

参考文献

《用 NCC 从 scratch 中配置 SBZ》（Configuring SBZ from scratch using the NCC）

获取途径： <此处内容机密|尚未公开>

---

源自：敏感信息分类指南，02-01

发表日期：20060711

NSA/CSSM 1-52，发表日期：20070108

解密日期：20320108

 

注：封面图元素来源于网络