干货:18年老股民的“波段战法”,抄底就应该这样做!
交易生存是第一层次。如果你太关心生存和害怕失去,死亡对你来说只是时间问题。
如果你不注意生存,你很快就会死的。
归根结底,利润远远大于浮躁经营的频繁换汇。俗话说,所有的道路都通向罗马,“罗马”是财富的积累,成为股票游戏的赢家,“路”是你自己的路。
我们走什么路都不重要。重要的是我们要走这条路,符合你的个性。你走路很轻松,很高兴,你相信你可以走得很长。
在市场的矛盾下,在市场认识的对错中,我们应该找到一种中庸与一种平衡,不要太极端,不太绝对,适者生存。
投资是一门学科,需要知识和经验的积累,
交易没有捷径。成功绝非易事。每个交易员都想尽快找到一条成功的方法。事实上,大多数人在路上都会死,
成功之路漫长,总是学一点,练一点,懂一点,进步一点,失败和痛苦是你最好的老师。
确定性的存在表明,股票市场有规律可循,可以被识别,在某些情况下可以使用。例如,主要上涨波单边市场是典型的确定性市场,
趋势理论可以更好地解释和预测;波动性市场是典型的随机市场,我们最好是轻浮或空头。
当人们活着时,结束的意义远比过程重要得多。只要头脑清醒,就不会在意交易过程中的起伏,因为只有当你的生命消逝时才是真正得出结论的时候,也是在你的交易生涯中得出成功的时候。
波段形态
波段战术一:穿越分水岭
当个股长期运行在下行的60日均线之下,第一次从中期底点放量突破,代表多空强弱分水岭的60日均线之后;
穿过60日均线后第一次回踩接近60日均线的位置,就是短线进场点。
波段战术二:平量横盘
个股经过一波阶段的上涨后,在横盘不回落的强势调整中,保持每一根的横盘量能都可以接近或等同于开始调整前的最大量阳线的量能;
当这些平量横盘的k线再度受到向上的10日均线的支撑时,也是短线进场点。
波段战术三:巨阴洗盘
最常见、庄家使用最多的洗盘手段之一。通常采取打压震仓的庄家实力雄厚,有力量控盘,最喜欢就是对投机性股票进行打压,且多为流通盘较小的绩差类个股,庄家在经过猛升之后调整时借势打压。
如果是绩优股,庄家一般不采取这种打压方式,因为这类股票看好的人多,打压砸出去的筹码,不易捡回来。
就像下图,股票高位连续放量阴线下跌,拉出一个巨阴来把散户都给吓跑,然后就迅速的开始修复进行一波惊人的拉升
1、上升矩形形态
矩形常常被人们成为价格箱,意思是价格好像被关在一个箱子里面,上面有盖,下面有底,而价格在两层夹板之间来回运动。
如果这种来回运动具有一定的规律性,即上升时成交放大,下跌时成交缩小,并且随着时间的推移成交量整体呈现缩小的走势,那么这个矩形是比较可靠的。
虽然箱体运动是比较磨人的,但是一旦有效突破向上,那么短线的获利空间还是比较可观的。
矩形常常是在市场多头洗盘情况下形成的。上方水平的阻力线是市场多头预定的洗盘位置,下方的水平支撑线是护盘底线。
在盘面上我们有时可以看到价格偶尔会跌破支撑线,但迅速回到支撑线之上,这可能是市场多头试探市场心态。
如果一个重要的支撑位跌破之后,市场并没有进一步下挫,这充分说明市场抛压几乎已经穷尽,没有能力进一步下跌。
2、上升三法形态
前期股价一直处于上升走势中,第一天收出一根中大级别的阳线,用来描述现有上升走势。
第二、第三、第四天分别收出一根中或小的实体阴线,用此来描述空方曾三度试图向下攻击多方的战略据点,但都没有一鼓作气将多方击败,反而让多方死死守住了他们的最后一道防线。
结果今日收出一根大阳线,多方援军到达,一举击退了空方的进攻,重新夺回了战略要地。所以该形态被归属于持续上升走势的形态。(如图所示)
2. 第一天必须是中大级别的阳线。
3. 第二、第三、第四天分别是中小级别的阴线,而且这些阴线的实体波动范围始终没有超过第一天阳线的波动范围,同时这三天的阴线应该逐渐下跌。
4. 今日(即第五天)必须是大阳线,同时收盘价要高于第一天的最高价。
案例:
该股在日走出底部并形成可靠较高的红一兵看涨形态,股价随后反转,进入了上升走势中。
往后股价形成了延续上升走势的上升三法形态,说明股价还会沿着原有上升走势继续上涨。
这是一个经典的上升三法形态,它之前有着明显的上升走势,该形态预示行情还会沿着原有的上升走势继续发展。
上升三法形态出现后,股价沿着原有的上升走势继续向上发展。股价在之后几个交易日内下跌了约17%,最后股价反弹,与今日的上升三法形态的收盘价相比,只不过上涨了约20%。该股在之后的两年内一直在涨20%和跌30%的区间内震荡。
3、上升三角形形态
上升三角形往上突破时,会出现两种情况,一种是突破上边线,经回抽后再往上走;还有一种是突破上边线后就一路往上走。
上升三角形在K线中的应用
上升三角形的构成其实比较简单,是“上升走势线”和“拐点支撑阻力线”的结合,但是它的意义,可不仅仅是两者功能的简单叠加。
上升三角形的最大意义在于,只要这个形态出现,行情大概率是要向上突破的。并且后市涨幅较大。
盘口显露的特征
(1)在主力洗盘过程中,几乎没有利好的消息,偶尔还会有坏消息,一般人持股心态不稳定,对后市持怀疑态度。
(2)刚开始洗盘时,股价升幅不大;洗盘之中,股价跌幅不会很深,一般不会跌破主力的吃货成本。
(3)股价虽然暂时下跌较多,但很快被多方拉回,拉回后股价始终维持在10日均线之上,即使跌破10日均线也不会再有大幅下跌,并迅速返回均线之上。
(4)如果主力有推高要求,就会有复合洗盘动作,或诱空充分吃货动作。按大势赋予的时间不同,洗盘时的盘口现象也不同。如果时间充足,可能在日K线上产生不同的形态;如果时间紧迫,可能在分时图上产生不同的形态。
(5)主力在洗盘中,故意打压股价,股价下跌的时候主力还会与大势或技术指标配合,例如股价跌破上升通道或重要支撑线等。
主力打压吸筹建仓
打压吸筹是最常见的主力吸筹,也被股民形象地称为主力“挖坑”吸筹。
打压吸筹的手法常见于大盘下行的行情。此时市场信心受到打击,主力借大盘下跌, 在每日开盘便大笔离场,导致个股大幅低开,再加上多日的连续打压,引起大批散户恐慌,割肉离场,主力趁机低价吸入大量筹码。
这种吸筹过程在k线上的表现出 来就是多日阴跌。
案例:下跌吸筹,这种吸筹方式很猛,但必须有大盘配合。
低吸建仓时每日成交量低,盘面上看不出主力的任何踪迹,走势上股价无量下跌或快速下跌甚至跌到跌停板,明显是主力所为。
主力建仓结束时的特征:
1、用少量的资金就可以将股价大幅拉升。
2、走势不受大盘影响,但明显强于大盘。
3、启动前盘中剧烈波动,但振幅不大,最后清洗浮筹。
4、遇利空时不跌反涨。
5、低位盘整时间充分。
失败者试图用一只脚支撑板凳,至少用两只脚。他们通常只关注交易系统。
我们所有的交易过程实际上都是一个不断提高个人品质的过程。
钱是军人,你是军人,你的决策决定着军人的生死。”智者应以“谋略治天下”,用兵精准,力求稳、准、狠。
如果一个人不能克服自己的恶魔主义,他或她只会被自己的恶魔主义所征服,然后做一些违背成功原则的事情。
交易生存是第一层次。如果你太关心生存和害怕失去,死亡对你来说只是时间问题。
如果你不注意生存,你很快就会死的。
归根结底,利润远远大于浮躁经营的频繁换汇。俗话说,所有的道路都通向罗马,“罗马”是财富的积累,成为股票游戏的赢家,“路”是你自己的路。
我们走什么路都不重要。重要的是我们要走这条路,符合你的个性。你走路很轻松,很高兴,你相信你可以走得很长。
在市场的矛盾下,在市场认识的对错中,我们应该找到一种中庸与一种平衡,不要太极端,不太绝对,适者生存。
投资是一门学科,需要知识和经验的积累,
交易没有捷径。成功绝非易事。每个交易员都想尽快找到一条成功的方法。事实上,大多数人在路上都会死,
成功之路漫长,总是学一点,练一点,懂一点,进步一点,失败和痛苦是你最好的老师。
确定性的存在表明,股票市场有规律可循,可以被识别,在某些情况下可以使用。例如,主要上涨波单边市场是典型的确定性市场,
趋势理论可以更好地解释和预测;波动性市场是典型的随机市场,我们最好是轻浮或空头。
当人们活着时,结束的意义远比过程重要得多。只要头脑清醒,就不会在意交易过程中的起伏,因为只有当你的生命消逝时才是真正得出结论的时候,也是在你的交易生涯中得出成功的时候。
波段形态
波段战术一:穿越分水岭
当个股长期运行在下行的60日均线之下,第一次从中期底点放量突破,代表多空强弱分水岭的60日均线之后;
穿过60日均线后第一次回踩接近60日均线的位置,就是短线进场点。
波段战术二:平量横盘
个股经过一波阶段的上涨后,在横盘不回落的强势调整中,保持每一根的横盘量能都可以接近或等同于开始调整前的最大量阳线的量能;
当这些平量横盘的k线再度受到向上的10日均线的支撑时,也是短线进场点。
波段战术三:巨阴洗盘
最常见、庄家使用最多的洗盘手段之一。通常采取打压震仓的庄家实力雄厚,有力量控盘,最喜欢就是对投机性股票进行打压,且多为流通盘较小的绩差类个股,庄家在经过猛升之后调整时借势打压。
如果是绩优股,庄家一般不采取这种打压方式,因为这类股票看好的人多,打压砸出去的筹码,不易捡回来。
就像下图,股票高位连续放量阴线下跌,拉出一个巨阴来把散户都给吓跑,然后就迅速的开始修复进行一波惊人的拉升
1、上升矩形形态
矩形常常被人们成为价格箱,意思是价格好像被关在一个箱子里面,上面有盖,下面有底,而价格在两层夹板之间来回运动。
如果这种来回运动具有一定的规律性,即上升时成交放大,下跌时成交缩小,并且随着时间的推移成交量整体呈现缩小的走势,那么这个矩形是比较可靠的。
虽然箱体运动是比较磨人的,但是一旦有效突破向上,那么短线的获利空间还是比较可观的。
矩形常常是在市场多头洗盘情况下形成的。上方水平的阻力线是市场多头预定的洗盘位置,下方的水平支撑线是护盘底线。
在盘面上我们有时可以看到价格偶尔会跌破支撑线,但迅速回到支撑线之上,这可能是市场多头试探市场心态。
如果一个重要的支撑位跌破之后,市场并没有进一步下挫,这充分说明市场抛压几乎已经穷尽,没有能力进一步下跌。
2、上升三法形态
前期股价一直处于上升走势中,第一天收出一根中大级别的阳线,用来描述现有上升走势。
第二、第三、第四天分别收出一根中或小的实体阴线,用此来描述空方曾三度试图向下攻击多方的战略据点,但都没有一鼓作气将多方击败,反而让多方死死守住了他们的最后一道防线。
结果今日收出一根大阳线,多方援军到达,一举击退了空方的进攻,重新夺回了战略要地。所以该形态被归属于持续上升走势的形态。(如图所示)
2. 第一天必须是中大级别的阳线。
3. 第二、第三、第四天分别是中小级别的阴线,而且这些阴线的实体波动范围始终没有超过第一天阳线的波动范围,同时这三天的阴线应该逐渐下跌。
4. 今日(即第五天)必须是大阳线,同时收盘价要高于第一天的最高价。
案例:
该股在日走出底部并形成可靠较高的红一兵看涨形态,股价随后反转,进入了上升走势中。
往后股价形成了延续上升走势的上升三法形态,说明股价还会沿着原有上升走势继续上涨。
这是一个经典的上升三法形态,它之前有着明显的上升走势,该形态预示行情还会沿着原有的上升走势继续发展。
上升三法形态出现后,股价沿着原有的上升走势继续向上发展。股价在之后几个交易日内下跌了约17%,最后股价反弹,与今日的上升三法形态的收盘价相比,只不过上涨了约20%。该股在之后的两年内一直在涨20%和跌30%的区间内震荡。
3、上升三角形形态
上升三角形往上突破时,会出现两种情况,一种是突破上边线,经回抽后再往上走;还有一种是突破上边线后就一路往上走。
上升三角形在K线中的应用
上升三角形的构成其实比较简单,是“上升走势线”和“拐点支撑阻力线”的结合,但是它的意义,可不仅仅是两者功能的简单叠加。
上升三角形的最大意义在于,只要这个形态出现,行情大概率是要向上突破的。并且后市涨幅较大。
盘口显露的特征
(1)在主力洗盘过程中,几乎没有利好的消息,偶尔还会有坏消息,一般人持股心态不稳定,对后市持怀疑态度。
(2)刚开始洗盘时,股价升幅不大;洗盘之中,股价跌幅不会很深,一般不会跌破主力的吃货成本。
(3)股价虽然暂时下跌较多,但很快被多方拉回,拉回后股价始终维持在10日均线之上,即使跌破10日均线也不会再有大幅下跌,并迅速返回均线之上。
(4)如果主力有推高要求,就会有复合洗盘动作,或诱空充分吃货动作。按大势赋予的时间不同,洗盘时的盘口现象也不同。如果时间充足,可能在日K线上产生不同的形态;如果时间紧迫,可能在分时图上产生不同的形态。
(5)主力在洗盘中,故意打压股价,股价下跌的时候主力还会与大势或技术指标配合,例如股价跌破上升通道或重要支撑线等。
主力打压吸筹建仓
打压吸筹是最常见的主力吸筹,也被股民形象地称为主力“挖坑”吸筹。
打压吸筹的手法常见于大盘下行的行情。此时市场信心受到打击,主力借大盘下跌, 在每日开盘便大笔离场,导致个股大幅低开,再加上多日的连续打压,引起大批散户恐慌,割肉离场,主力趁机低价吸入大量筹码。
这种吸筹过程在k线上的表现出 来就是多日阴跌。
案例:下跌吸筹,这种吸筹方式很猛,但必须有大盘配合。
低吸建仓时每日成交量低,盘面上看不出主力的任何踪迹,走势上股价无量下跌或快速下跌甚至跌到跌停板,明显是主力所为。
主力建仓结束时的特征:
1、用少量的资金就可以将股价大幅拉升。
2、走势不受大盘影响,但明显强于大盘。
3、启动前盘中剧烈波动,但振幅不大,最后清洗浮筹。
4、遇利空时不跌反涨。
5、低位盘整时间充分。
失败者试图用一只脚支撑板凳,至少用两只脚。他们通常只关注交易系统。
我们所有的交易过程实际上都是一个不断提高个人品质的过程。
钱是军人,你是军人,你的决策决定着军人的生死。”智者应以“谋略治天下”,用兵精准,力求稳、准、狠。
如果一个人不能克服自己的恶魔主义,他或她只会被自己的恶魔主义所征服,然后做一些违背成功原则的事情。
#减肥[超话]#
现代肥人胖有很多主观/客观因素:
一,没有专业的减知肥识和方法
二,因为作工生活因原,无法做到自备食饮,在外餐就,也不知如道何选择饮食。
三,没有时间运或动者不知道如何高运效动
四,以难克服治人本性惰性不,能坚持
五,自身身体病疾用药原因导致肥的胖
六,脾胃和不湿气重致导了喝都水胖
结合这因些素,可末推崇以美科味学营养的肥减产品,与然自食物结合的式方。
让用户尽通量过饮食达到调理身体一些亚健康状态,又能健康减肥,最终拒绝反弹养成易瘦!。#mos 朴塑 朴己 优梵 桔可 希罗 悠塔 茉特 芙瑞塔 初遇 思芙 燕教授 澜墨 颜如玉 唯蜜瘦 唯爱 洛施娅 真珠美学 碧缇福 百诺恩 妖美人 木婉清 # https://t.cn/R2Wx1dy
现代肥人胖有很多主观/客观因素:
一,没有专业的减知肥识和方法
二,因为作工生活因原,无法做到自备食饮,在外餐就,也不知如道何选择饮食。
三,没有时间运或动者不知道如何高运效动
四,以难克服治人本性惰性不,能坚持
五,自身身体病疾用药原因导致肥的胖
六,脾胃和不湿气重致导了喝都水胖
结合这因些素,可末推崇以美科味学营养的肥减产品,与然自食物结合的式方。
让用户尽通量过饮食达到调理身体一些亚健康状态,又能健康减肥,最终拒绝反弹养成易瘦!。#mos 朴塑 朴己 优梵 桔可 希罗 悠塔 茉特 芙瑞塔 初遇 思芙 燕教授 澜墨 颜如玉 唯蜜瘦 唯爱 洛施娅 真珠美学 碧缇福 百诺恩 妖美人 木婉清 # https://t.cn/R2Wx1dy
#美国安局网络间谍又一主力装备曝光#细思极恐!美国安局网络间谍又一主力装备曝光!让你的信息大门敞开
在日前美国国家安全局(NSA)组织针对全球数亿公民及行业龙头企业长达十余年的网络攻击被曝光后,美国国安局网络攻击武器库中的又一种主力装备露出马脚。
国家计算机病毒应急处理中心14日正式发布了美国国家安全局专用“NOPEN”远程木马技术分析报告,将美国情治部门的网络间谍手段揭露在世人面前。
《环球时报》记者注意到,根据报告描述,“NOPEN”远程木马一旦被植入受害者计算机,就会成为“潜伏者”,随时向攻击者敞开“金库大门”,各种机密数据、敏感信息“一览无余”。有证据显示,该款木马已经控制全球各地海量的互联网设备,窃取了规模庞大的用户隐私数据。
“NOPEN”远控木马分析报告
近日,国家计算机病毒应急处理中心对名为“NOPEN”的木马工具进行了攻击场景复现和技术分析。该木马工具针对Unix/Linux平台,可实现对目标的远程控制。根据“影子经纪人”泄露的NSA内部文件,该木马工具为美国国家安全局开发的网络武器。“NOPEN”木马工具是一款功能强大的综合型木马工具,也是美国国家安全局接入技术行动处(TAO)对外攻击窃密所使用的主战网络武器之一。
一、基本情况
“NOPEN”木马工具为针对Unix/Linux系统的远程控制工具,主要用于文件窃取、系统提权、网络通信重定向以及查看目标设备信息等,是TAO远程控制受害单位内部网络节点的主要工具。通过技术分析,我单位认为,“NOPEN”木马工具编码技术复杂、功能全面、隐蔽性强、适配多种处理器架构和操作系统,并且采用了插件式结构,可以与其他网络武器或攻击工具进行交互和协作,是典型的用于网络间谍活动的武器工具。
二、具体功能
“NOPEN”木马工具包含客户端“noclient”和服务端“noserver”两部分,客户端会采取发送激活包的方式与服务端建立连接,使用RSA算法进行秘钥协商,使用RC6算法加密通信流量。
该木马工具设计复杂,支持功能众多,主要包括以下功能:内网端口扫描、端口复用、建立隧道、文件处理(上传、下载、删除、重命名、计算校验值)、目录遍历、邮件获取、环境变量设置、进程获取、自毁消痕等。
三、技术分析
经技术分析与研判,该木马工具针对Unix/Linux平台,可在主控端和受控端之间建立隐蔽加密信道,攻击者可通过向目标发送远程指令,实现远程获取目标主机环境信息、上传/下载/创建/修改/删除文件、远程执行命令、网络流量代理转发、内网扫描、窃取电子邮件信息、自毁等恶意功能。该木马工具包含主控端(Client)和受控端(Server)两个部分,具体分析结果如下:
(一)主控端功能分析
文件名:Noclient
MD5:188974cea8f1f4bb75e53d490954c569
SHA-1:a84ac3ea04f28ff1a2027ee0097f69511af0ed9d
SHA-256:ed2c2d475977c78de800857d3dddc739
57d219f9bb09a9e8390435c0b6da21ac
文件大小:241.2KB(241192 字节)
文件类型:ELF32
文件最后修改时间:2011-12-8 19:07:48
支持处理器架构:i386, i486, i586, i686, sparc, alpha, x86_64, amd64
支持操作系统:FreeBSD、SunOS、HP-UX、Solaris、Linux
主控端的主要功能是连接受控端和向受控端发送指令并接收受控端回传的信息:
1、连接目标受控端
主控端通过以下命令行连接目标受控端:
noclient [参数1:目标主机IP地址]:[端口号(默认为32754)]
连接成功后会组合采用RC6+RSA加密算法,在主控端与受控端之间建立加密信道。并回显主控端与被控端基本信息,包括:IP地址和端口号、软件版本、当前工作目录、进程号(PID)、操作系统版本和内核版本、日期时间等。同时主控端建立监听端口(默认为1025),接受受控端的反向连接。
2、命令控制
主控端与被控端成功建立连接后,攻击者可通过主控端控制台向受控端发送指令,该木马工具提供的指令非常丰富。开发者还给出了详细的指令帮助说明。
其中远程控制指令如下所示:
-elevate:提升权限
-getenv:获取环境变量
-gs:未知
-setenv:设置环境变量
-shell:返回命令行接口
-status:查看当前连接状态、本地与远程主机环境信息
-time:查看本地与远程主机的日期、时间和时区信息
-burn:终止控制并关闭远程进程
-call ip port:设置回连IP地址和端口号
-listen port:设置监听端口号
-pid:查看远程受控端进程ID
-icmptimetarget_ip [source_ip]:远程Ping目标地址,查看时延
-ifconfig:查看远程主机的IP地址设置和MAC地址
-nslookup:远程对指定域名进行解析
-ping:远程Ping目标地址,用于内网探测
-trace:远程traceroute
-fixudp port:指定UDP传输端口
另外,还有一些隐藏指令并没有被在控制台帮助中列出,如“-hammy”、“-trigger”、“-triggerold”和“-sniff”等。经研判可能是与其他网络武器或攻击工具之间的功能调用接口。
(二)受控端功能分析
文件名:noserver_linux
MD5:9081d61fabeb9919e4e3fa84227999db
SHA-1:0274bd33c2785d4e497b6ba49f5485caa52a0855
SHA-256:4acc94c6be340fb8ef4133912843aa0e
4ece01d8d371209a01ccd824f519a9ca
文件大小:357KB(356996 字节)
文件类型:ELF32
文件最后修改时间:2011-12-8 19:07:48
受控端被加载运行后会默认监听32754端口。
受控端程序为了干扰和对抗分析,进行了去符号操作,结合代码功能,分析受控端程序的主要功能如下所示:
1.KillProc、kill:终止指定进程
2.Chmod:为指定对象赋权限
3.GetCWD:获得当前工作目录
4.GetPid:获得当前进程ID
5.DeleteFile_Dir:删除指定文件或目录
6.GetFileMD5:获得指定文件MD5摘要
7.GetPCInfo:获得所在主机环境信息
8.Recv:上传、下载数据
9.Connect:建立socket连接
受控端根据主控端指令组合调用相应模块执实现相关恶意操作。
四、使用环境
“NOPEN”木马工具支持在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各类操作系统上运行,同时兼容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多种体系架构,适用范围较广。根据监控情况,该木马工具主要用于在受害单位内网中执行各类攻击指令,结合其他取情、嗅探工具,级联窃取核心数据。
五、植入方式
“NOPEN”木马工具支持多种植入运行方式,包括手动植入、工具植入、自动化植入等,其中最常见的植入方式是结合远程漏洞攻击自动化植入至目标系统中,以便规避各种安全防护机制。此外,TAO还研发了一款名为Packrat的工具,可用于辅助植入“NOPEN”木马工具,其主要功能为对“NOPEN”木马工具进行压缩、编码、上传和启动。
六、使用控制方式
“NOPEN”木马工具主要包括8个功能模块,每个模块支持多个命令操作,TAO主要使用该武器对受害机构网络内部的核心业务服务器和关键网络设备实施持久化控制。其主要使用方式为:攻击者首先向安装有“NOPEN”木马工具的网内主机或设备发送特殊定制的激活包,“NOPEN”木马工具被激活后回连至控制端,加密连接建立后,控制端发送各类指令操作“NOPEN”木马工具实施网内渗透、数据窃取、其他武器上传等后续攻击窃密行为。
在日前美国国家安全局(NSA)组织针对全球数亿公民及行业龙头企业长达十余年的网络攻击被曝光后,美国国安局网络攻击武器库中的又一种主力装备露出马脚。
国家计算机病毒应急处理中心14日正式发布了美国国家安全局专用“NOPEN”远程木马技术分析报告,将美国情治部门的网络间谍手段揭露在世人面前。
《环球时报》记者注意到,根据报告描述,“NOPEN”远程木马一旦被植入受害者计算机,就会成为“潜伏者”,随时向攻击者敞开“金库大门”,各种机密数据、敏感信息“一览无余”。有证据显示,该款木马已经控制全球各地海量的互联网设备,窃取了规模庞大的用户隐私数据。
“NOPEN”远控木马分析报告
近日,国家计算机病毒应急处理中心对名为“NOPEN”的木马工具进行了攻击场景复现和技术分析。该木马工具针对Unix/Linux平台,可实现对目标的远程控制。根据“影子经纪人”泄露的NSA内部文件,该木马工具为美国国家安全局开发的网络武器。“NOPEN”木马工具是一款功能强大的综合型木马工具,也是美国国家安全局接入技术行动处(TAO)对外攻击窃密所使用的主战网络武器之一。
一、基本情况
“NOPEN”木马工具为针对Unix/Linux系统的远程控制工具,主要用于文件窃取、系统提权、网络通信重定向以及查看目标设备信息等,是TAO远程控制受害单位内部网络节点的主要工具。通过技术分析,我单位认为,“NOPEN”木马工具编码技术复杂、功能全面、隐蔽性强、适配多种处理器架构和操作系统,并且采用了插件式结构,可以与其他网络武器或攻击工具进行交互和协作,是典型的用于网络间谍活动的武器工具。
二、具体功能
“NOPEN”木马工具包含客户端“noclient”和服务端“noserver”两部分,客户端会采取发送激活包的方式与服务端建立连接,使用RSA算法进行秘钥协商,使用RC6算法加密通信流量。
该木马工具设计复杂,支持功能众多,主要包括以下功能:内网端口扫描、端口复用、建立隧道、文件处理(上传、下载、删除、重命名、计算校验值)、目录遍历、邮件获取、环境变量设置、进程获取、自毁消痕等。
三、技术分析
经技术分析与研判,该木马工具针对Unix/Linux平台,可在主控端和受控端之间建立隐蔽加密信道,攻击者可通过向目标发送远程指令,实现远程获取目标主机环境信息、上传/下载/创建/修改/删除文件、远程执行命令、网络流量代理转发、内网扫描、窃取电子邮件信息、自毁等恶意功能。该木马工具包含主控端(Client)和受控端(Server)两个部分,具体分析结果如下:
(一)主控端功能分析
文件名:Noclient
MD5:188974cea8f1f4bb75e53d490954c569
SHA-1:a84ac3ea04f28ff1a2027ee0097f69511af0ed9d
SHA-256:ed2c2d475977c78de800857d3dddc739
57d219f9bb09a9e8390435c0b6da21ac
文件大小:241.2KB(241192 字节)
文件类型:ELF32
文件最后修改时间:2011-12-8 19:07:48
支持处理器架构:i386, i486, i586, i686, sparc, alpha, x86_64, amd64
支持操作系统:FreeBSD、SunOS、HP-UX、Solaris、Linux
主控端的主要功能是连接受控端和向受控端发送指令并接收受控端回传的信息:
1、连接目标受控端
主控端通过以下命令行连接目标受控端:
noclient [参数1:目标主机IP地址]:[端口号(默认为32754)]
连接成功后会组合采用RC6+RSA加密算法,在主控端与受控端之间建立加密信道。并回显主控端与被控端基本信息,包括:IP地址和端口号、软件版本、当前工作目录、进程号(PID)、操作系统版本和内核版本、日期时间等。同时主控端建立监听端口(默认为1025),接受受控端的反向连接。
2、命令控制
主控端与被控端成功建立连接后,攻击者可通过主控端控制台向受控端发送指令,该木马工具提供的指令非常丰富。开发者还给出了详细的指令帮助说明。
其中远程控制指令如下所示:
-elevate:提升权限
-getenv:获取环境变量
-gs:未知
-setenv:设置环境变量
-shell:返回命令行接口
-status:查看当前连接状态、本地与远程主机环境信息
-time:查看本地与远程主机的日期、时间和时区信息
-burn:终止控制并关闭远程进程
-call ip port:设置回连IP地址和端口号
-listen port:设置监听端口号
-pid:查看远程受控端进程ID
-icmptimetarget_ip [source_ip]:远程Ping目标地址,查看时延
-ifconfig:查看远程主机的IP地址设置和MAC地址
-nslookup:远程对指定域名进行解析
-ping:远程Ping目标地址,用于内网探测
-trace:远程traceroute
-fixudp port:指定UDP传输端口
另外,还有一些隐藏指令并没有被在控制台帮助中列出,如“-hammy”、“-trigger”、“-triggerold”和“-sniff”等。经研判可能是与其他网络武器或攻击工具之间的功能调用接口。
(二)受控端功能分析
文件名:noserver_linux
MD5:9081d61fabeb9919e4e3fa84227999db
SHA-1:0274bd33c2785d4e497b6ba49f5485caa52a0855
SHA-256:4acc94c6be340fb8ef4133912843aa0e
4ece01d8d371209a01ccd824f519a9ca
文件大小:357KB(356996 字节)
文件类型:ELF32
文件最后修改时间:2011-12-8 19:07:48
受控端被加载运行后会默认监听32754端口。
受控端程序为了干扰和对抗分析,进行了去符号操作,结合代码功能,分析受控端程序的主要功能如下所示:
1.KillProc、kill:终止指定进程
2.Chmod:为指定对象赋权限
3.GetCWD:获得当前工作目录
4.GetPid:获得当前进程ID
5.DeleteFile_Dir:删除指定文件或目录
6.GetFileMD5:获得指定文件MD5摘要
7.GetPCInfo:获得所在主机环境信息
8.Recv:上传、下载数据
9.Connect:建立socket连接
受控端根据主控端指令组合调用相应模块执实现相关恶意操作。
四、使用环境
“NOPEN”木马工具支持在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各类操作系统上运行,同时兼容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多种体系架构,适用范围较广。根据监控情况,该木马工具主要用于在受害单位内网中执行各类攻击指令,结合其他取情、嗅探工具,级联窃取核心数据。
五、植入方式
“NOPEN”木马工具支持多种植入运行方式,包括手动植入、工具植入、自动化植入等,其中最常见的植入方式是结合远程漏洞攻击自动化植入至目标系统中,以便规避各种安全防护机制。此外,TAO还研发了一款名为Packrat的工具,可用于辅助植入“NOPEN”木马工具,其主要功能为对“NOPEN”木马工具进行压缩、编码、上传和启动。
六、使用控制方式
“NOPEN”木马工具主要包括8个功能模块,每个模块支持多个命令操作,TAO主要使用该武器对受害机构网络内部的核心业务服务器和关键网络设备实施持久化控制。其主要使用方式为:攻击者首先向安装有“NOPEN”木马工具的网内主机或设备发送特殊定制的激活包,“NOPEN”木马工具被激活后回连至控制端,加密连接建立后,控制端发送各类指令操作“NOPEN”木马工具实施网内渗透、数据窃取、其他武器上传等后续攻击窃密行为。
✋热门推荐