2024年，国家互联网紧急中心CNCERT发现并处理了中国一家大型商业加密产品提供商对美国情报机构网络的攻击。该报告将发布该事件的网络攻击的详细信息，为全球相关国家和单位提供参考，以有效地检测和防止对美国网络的攻击。 1。网络攻击过程 （i）在客户关系管理系统中使用弱点来攻击攻击 该公司使用特定的客户关系管理系统，该系统主要用于存储客户关系和合同信息。攻击使用未暴露于系统时间攻击和上传任何文件的弱点。侵略成功后，攻击删除了一些注释NG日志以清除攻击痕迹。 （ii）对两个系统的攻击并种植特殊特洛伊木马计划 2024年3月5日，袭击在客户关系管理系统中种植了特殊的特洛伊木马计划tem，以及/crm/wxxxxapp/xxxxxxxxxx /xxx.php的路径。攻击可以通过该特洛伊木马计划进行任何网络攻击顺序。为了防止监视和发现，在整个过程中已经公开了特洛伊木马程序的通信数据，并进行了一系列复杂的处理，例如字符串编码，加密和压缩功能。 2024年5月20日，攻击开始通过横向运动攻击用于产品和项目代码管理的公司系统。 2。小偷大量的商业秘密信息 （i）盗窃有关客户和合同的信息 从2024年3月到9月，攻击者使用14个海外跳板IP连接到特殊的特洛伊木马计划，并从客户关系管理系统中窃取数据，总共有950MB的数据被盗。客户关系管理系统中有600多名用户，超过8,000个客户文件列表，超过10,000个合同订单和合同CustoMERS包括相关的政府部门和其他重要部门。攻击可以查看详细信息，例如合同名称，提取内容，数量等。 （ii）盗窃项目信息 从5月到2024年7月，攻击者使用三个海外跳板IP来攻击公司的代码管理系统，总计6.2GB的数据被盗。 C管理Systemode中有44个用户，他们存储重要信息，例如3个研究和密码开发项目的代码。 3。 （i）进攻武器 通过对XXX.PHP特殊特洛伊特朗计划的反向分析，发现它与美国情报机构在第一阶段使用的攻击有明显的同源关系。 （ii）攻击时间 分析发现，攻击时间主要集中在北京的22:00小时之间，第二天8:00，而美国东部时间为10:00至20:00。攻击时间主要是在美国周一至周五分布在美国的主要假期没有攻击。 （iii）攻击资源 17次攻击使用的IP攻击不会重复重复 - 可以将IP攻击移至一些Secundo。 IP攻击位于荷兰，德国和韩国，反映了对反恐度和攻击资源丰富的储备的高度认识。 （iv）进攻程序 首先，善于使用开放资源或一般工具来掩盖监视，也可以在客户关系管理系统中找到。这两个常见的网页特洛伊木马是由攻击暂时种植的。其次，攻击是通过删除特洛伊木马的日志和程序来掩盖自己对攻击的攻击非常好的。 4。列出一些跳板IP