【#失事飞机黑匣子已找到# 东航坠机第3天,有这10个确定消息】此前,#20220321MU5735# 3月21日14时38分许,东方航空公司MU5735航班执行昆明-广州任务时,在广西梧州市上空失联并坠毁。机上载有乘客123人、机组人员9人。
#无人机航拍坠机事故救援现场# 目前,现场救援、善后处置及事故原因调查等工作正在进行中。
①飞机坠毁经过
22日21时,国家应急处置指挥部在广西梧州举行新闻发布会,发布东航客机坠毁事件的相关调查进展,并回答社会各界所关切的相关问题。
在22日晚#mu5735搜寻新闻发布会#上,民航局航空安全办公室主任朱涛通报称,东航MU5735航班于3月21日13时16分从昆明起飞,14时17分保持巡航高度8900米进入广州管制区。14:20管制员发现飞机高度急剧下降,随即多次呼叫机组,但未收到任何回复,14:23飞机雷达信号消失,后经核实,飞机在广西壮族自治区梧州市藤县境内坠毁。
此前,中国新闻网等多家媒体援引航班数据服务公司“飞常准”的数据报道称,MU5735航班从昆明机场起飞后,一直在约8869米高度进行巡航。14时19分,飞机突然从巡航高度下降,同时飞行速度从约每小时845公里开始下降。14时21分,MU5735航班丢失ADS-B雷达信号,同地面失联。
②失事飞机情况
此次失事飞机为2015年6月22日引进,截至事故发生时共飞行8986架次,总计18239小时。
据@澎湃新闻 此前报道,失事飞机航班号为MU5735,机型为波音737-800。可查资料显示,该航班注册号为B-1791,机型波音737-800,机龄6年,机上共有12个商务舱和148个经济舱座位。
波音737-800属于波音新一代737(即737NG),同型号还包括-600、-700、-900,其中737-800为最受欢迎的型号,1998年首架交付用户,被称为737家族中最成功的机型。波音737-800和空客的A320,这两种单通道客机,是目前中国乃至全球民航市场的主流机型。
③事故现场
据@央视新闻 3月22日晚消息称,#失事飞机残骸抛撒面积非常大# ,甚至出现在山的另一边。东航坠机事故搜救工作正全力进行。
总台记者在现场了解到:MU5735坠机区果园梯田被冲击成平地、水坑,大腿粗的竹子撕裂倒伏,一些树干完全断裂;救援核心区约半个足球场大,但飞机残骸的抛撒面积非常大,山的另一边甚至也发现飞机残骸,搜寻工作非常艰难。
④救援进展
#总台直击东航坠机事故救援现场# 记者在坠机事故核心区了解到,3月22日下午,现场指挥部给参与救援的力量下达了新的任务——在加紧进行人员搜救的同时,继续开展针对失事客机黑匣子的搜寻工作。
22日晚发布会披露,事故应急救援工作仍在继续进行中,事故现场初步勘查工作也已同步开启。后续指挥部将继续搜救:一、尽快搜寻机上的两部黑匣子,尽快开展黑匣子数据分析;二、做好遇难者家属安抚、援助及服务工作,妥善处理善后事;三、做好疫情防控和信息发布工作。
民航局航空安全办公室主任朱涛通报称,机上共有旅客123名(无外籍旅客),机组人员9名(飞行员3名,乘务员5名,安全员1名)。截至目前,搜救工作尚未发现幸存人员,公安部门已对现场进行了封锁管控。
⑤黑匣子
飞机黑匣子包含驾驶舱语音记录器和飞行数据记录仪,它记录了飞行期间,特别是事故前夕的详细信息资料。
#飞机黑匣子电池可使用30天左右# 黑匣子一般为橙红色,鲜艳的颜色以便在飞机失事后能迅速被找到,同时它可以经受住爆炸解体、高温燃烧、入水浸泡等破坏。黑匣子里的电池,能够使用大概30天左右。在这期间,它会不断地向外界发送信号。此次飞机失事的位置,主要还是依靠人目视来进行寻找,找到残骸之后,就要利用黑匣子外表明亮独特的颜色以及反光的标识来进行搜寻。
据央视新闻客户端3月22日晚报道,此次失事客机黑匣子的长宽高分别约为60厘米、20厘米、20厘米。目前,现场救援力量被要求进行分片地毯式搜索。
⑥调查进展
22日晚,发布会上通报称,本次事故飞机损毁严重,调查难度很大。鉴于调查工作刚刚开始,以目前掌握的信息,还无法对于事故的原因有一个清晰的判断。下一步调查组将全力以赴搜集各方证据,重点在事发现场飞行记录器的搜寻,并综合各方面信息开展事故原因分析工作,深入全面查明事故原因,一旦调查工作取得进展,将在第一时间公布。
⑦行业安全大检查
3月22日晚,民航局官网发布消息:民航局于3月22日下发通知,要求在前期行业安全督导工作的基础上,立即开展为期2周的行业安全大检查,旨在进一步强化底线思维,加强民用航空领域安全隐患排查,确保航空运行绝对安全,确保人民生命绝对安全。#加强民航领域安全隐患排查#
此次大检查的范围包括各地区空管局、各运输(通用)航空公司、各服务保障公司、各机场公司、各飞行训练机构。民航各地区管理局采用“四不两直”、明查暗访及远程监管相结合的方式,排查隐患,一追到底、整改到位。
⑧保险理赔
3月22日,中国银保监会印发通知,要求全力做好东航客机坠毁事故保险理赔服务工作。
中国银保监会提出“督促各保险公司及时跟进事故进展,主动排查承保客户信息,在充分尊重客户家属意愿的前提下,以适当的方式和时间开展服务工作,兑现保单承诺,并做好客户家属安抚”、“责成各保险公司建立理赔绿色通道,简化理赔程序和材料,优化理赔服务”等要求。
⑨旅客家属
东航云南有限公司董事长孙世英在22日晚发布会上表示,东航已在24小时内与全部123名旅客的家属取得联系,选派了160多位援助专家组建工作团队,有序开展家属援助工作。
据介绍,123名旅客的家属涉及多个省市。按照民航惯例,东航在始发地昆明、目的地广州、事发地梧州,都设立了家属援助点。
⑩天气
3月22日下午,中国气象数据网发布《广西藤县客机坠毁搜救气象服务快报》:预计梧州市藤县未来24小时(22日18时~https://t.cn/A66aYfQK ,最高气温16.95℃,最低气温13.0℃,平均气温14.7℃,累积降水量30.09mm,平均风速2.4m/s,风向以北偏东为主。
上述预报称,藤县当地气温正持续下降,22日夜晚还将迎来大雨,甚至局部有暴雨。请相关部门注意降温降雨对救援工作带来的不利影响。23日凌晨,#坠机现场下雨了# 大面积搜救工作暂缓。
#无人机航拍坠机事故救援现场# 目前,现场救援、善后处置及事故原因调查等工作正在进行中。
①飞机坠毁经过
22日21时,国家应急处置指挥部在广西梧州举行新闻发布会,发布东航客机坠毁事件的相关调查进展,并回答社会各界所关切的相关问题。
在22日晚#mu5735搜寻新闻发布会#上,民航局航空安全办公室主任朱涛通报称,东航MU5735航班于3月21日13时16分从昆明起飞,14时17分保持巡航高度8900米进入广州管制区。14:20管制员发现飞机高度急剧下降,随即多次呼叫机组,但未收到任何回复,14:23飞机雷达信号消失,后经核实,飞机在广西壮族自治区梧州市藤县境内坠毁。
此前,中国新闻网等多家媒体援引航班数据服务公司“飞常准”的数据报道称,MU5735航班从昆明机场起飞后,一直在约8869米高度进行巡航。14时19分,飞机突然从巡航高度下降,同时飞行速度从约每小时845公里开始下降。14时21分,MU5735航班丢失ADS-B雷达信号,同地面失联。
②失事飞机情况
此次失事飞机为2015年6月22日引进,截至事故发生时共飞行8986架次,总计18239小时。
据@澎湃新闻 此前报道,失事飞机航班号为MU5735,机型为波音737-800。可查资料显示,该航班注册号为B-1791,机型波音737-800,机龄6年,机上共有12个商务舱和148个经济舱座位。
波音737-800属于波音新一代737(即737NG),同型号还包括-600、-700、-900,其中737-800为最受欢迎的型号,1998年首架交付用户,被称为737家族中最成功的机型。波音737-800和空客的A320,这两种单通道客机,是目前中国乃至全球民航市场的主流机型。
③事故现场
据@央视新闻 3月22日晚消息称,#失事飞机残骸抛撒面积非常大# ,甚至出现在山的另一边。东航坠机事故搜救工作正全力进行。
总台记者在现场了解到:MU5735坠机区果园梯田被冲击成平地、水坑,大腿粗的竹子撕裂倒伏,一些树干完全断裂;救援核心区约半个足球场大,但飞机残骸的抛撒面积非常大,山的另一边甚至也发现飞机残骸,搜寻工作非常艰难。
④救援进展
#总台直击东航坠机事故救援现场# 记者在坠机事故核心区了解到,3月22日下午,现场指挥部给参与救援的力量下达了新的任务——在加紧进行人员搜救的同时,继续开展针对失事客机黑匣子的搜寻工作。
22日晚发布会披露,事故应急救援工作仍在继续进行中,事故现场初步勘查工作也已同步开启。后续指挥部将继续搜救:一、尽快搜寻机上的两部黑匣子,尽快开展黑匣子数据分析;二、做好遇难者家属安抚、援助及服务工作,妥善处理善后事;三、做好疫情防控和信息发布工作。
民航局航空安全办公室主任朱涛通报称,机上共有旅客123名(无外籍旅客),机组人员9名(飞行员3名,乘务员5名,安全员1名)。截至目前,搜救工作尚未发现幸存人员,公安部门已对现场进行了封锁管控。
⑤黑匣子
飞机黑匣子包含驾驶舱语音记录器和飞行数据记录仪,它记录了飞行期间,特别是事故前夕的详细信息资料。
#飞机黑匣子电池可使用30天左右# 黑匣子一般为橙红色,鲜艳的颜色以便在飞机失事后能迅速被找到,同时它可以经受住爆炸解体、高温燃烧、入水浸泡等破坏。黑匣子里的电池,能够使用大概30天左右。在这期间,它会不断地向外界发送信号。此次飞机失事的位置,主要还是依靠人目视来进行寻找,找到残骸之后,就要利用黑匣子外表明亮独特的颜色以及反光的标识来进行搜寻。
据央视新闻客户端3月22日晚报道,此次失事客机黑匣子的长宽高分别约为60厘米、20厘米、20厘米。目前,现场救援力量被要求进行分片地毯式搜索。
⑥调查进展
22日晚,发布会上通报称,本次事故飞机损毁严重,调查难度很大。鉴于调查工作刚刚开始,以目前掌握的信息,还无法对于事故的原因有一个清晰的判断。下一步调查组将全力以赴搜集各方证据,重点在事发现场飞行记录器的搜寻,并综合各方面信息开展事故原因分析工作,深入全面查明事故原因,一旦调查工作取得进展,将在第一时间公布。
⑦行业安全大检查
3月22日晚,民航局官网发布消息:民航局于3月22日下发通知,要求在前期行业安全督导工作的基础上,立即开展为期2周的行业安全大检查,旨在进一步强化底线思维,加强民用航空领域安全隐患排查,确保航空运行绝对安全,确保人民生命绝对安全。#加强民航领域安全隐患排查#
此次大检查的范围包括各地区空管局、各运输(通用)航空公司、各服务保障公司、各机场公司、各飞行训练机构。民航各地区管理局采用“四不两直”、明查暗访及远程监管相结合的方式,排查隐患,一追到底、整改到位。
⑧保险理赔
3月22日,中国银保监会印发通知,要求全力做好东航客机坠毁事故保险理赔服务工作。
中国银保监会提出“督促各保险公司及时跟进事故进展,主动排查承保客户信息,在充分尊重客户家属意愿的前提下,以适当的方式和时间开展服务工作,兑现保单承诺,并做好客户家属安抚”、“责成各保险公司建立理赔绿色通道,简化理赔程序和材料,优化理赔服务”等要求。
⑨旅客家属
东航云南有限公司董事长孙世英在22日晚发布会上表示,东航已在24小时内与全部123名旅客的家属取得联系,选派了160多位援助专家组建工作团队,有序开展家属援助工作。
据介绍,123名旅客的家属涉及多个省市。按照民航惯例,东航在始发地昆明、目的地广州、事发地梧州,都设立了家属援助点。
⑩天气
3月22日下午,中国气象数据网发布《广西藤县客机坠毁搜救气象服务快报》:预计梧州市藤县未来24小时(22日18时~https://t.cn/A66aYfQK ,最高气温16.95℃,最低气温13.0℃,平均气温14.7℃,累积降水量30.09mm,平均风速2.4m/s,风向以北偏东为主。
上述预报称,藤县当地气温正持续下降,22日夜晚还将迎来大雨,甚至局部有暴雨。请相关部门注意降温降雨对救援工作带来的不利影响。23日凌晨,#坠机现场下雨了# 大面积搜救工作暂缓。
大雪,清早带二娃去医院。
这两天气喘又严重了,照胸片,肺部再次积水;做B超,心脏病发展迅速;因为呕吐频繁,扫描肠胃,有小淋巴瘤的征兆。
打利尿针,吸氧,开药(一天要吃七八种,每天两次),装留置针……
杜大夫明确说,快的话就是三个月,慢的话,最多到过年,很可能到不了。
虽然之前有心理准备,还是哭了。
今年6月21号,二娃满十三岁,说老不老。09年,在重庆猫友群领养了刚满一岁的他。整个就…精神很分裂,边吼你,边往你身上蹭,趁你睡着了躺你胳膊上,醒了摸他一把,又呲牙咧嘴凶你。
我有过一只折耳,叫张家宝(我独自养的第一只猫),意外身故后,意难平,才领养了同是折耳的二娃。本来,是给他取名张二宝的,但太凶了,一气之下降级为张二娃。
二娃胆子很大,一次从窗户跑出去,跳到楼下雨棚上(我家21楼),我把自己拴在窗沿,几乎半挂在外面,才把他捞回来。他吓懵了,从此对探险活动再无兴趣。
喜欢玩纸团,听到卷筒纸摩擦声就兴奋,扔给他,可以跳到天花板那么高,真的。但塑料口袋的摩擦声,一听就跑,不知受过什么刺激。
超级占强,在家必须是老大,稍微能让我一点点,其他人都是小弟。
原主人本来叫他蛋蛋,蛋蛋来我家第一件事就是摘了蛋蛋。
所以没有过老婆,大概以为我是他老婆。
半夜老来踩奶,呼噜噜的,钻被窝,两只爪爪搂着你脖子,鼻子还凑过来,贴着脸,湿乎乎的。踩够了,又觉得失态,骂你两句,跑了。
道明寺吗?!莫名其妙。
唉……这个奇奇怪怪的小生命,和我生活了一辈子,还是有很多我读不懂的行径。不过,他似乎越来越懂我。
我来北京后,和他异地了三年,妈妈帮我照顾他。三年后,在一个极强暴雨的夏天从重庆坐飞机来到北京我的身边,简直历尽艰辛。看着航空箱里可怜巴巴的他,我就想,再也不分开了。
他是怎么想的呢?我不知道。但他好像意识到,在北京这件小小的屋子里,从此他只有我,我只有他。
他基本不再凶我了(其他人照凶);
他一度想改变我颠三倒四的作息(跟着我妈三年,早睡早起),每晚十一点就上床躺着对我喊,后来放弃了[允悲];
他开始喜欢让我抱着,在屋里走来走去,东看看西看看,以他平时不能所及的视线重新审视房间,当然,有时候我也会跟在他屁股后面爬行,看看他看到的世界;
但他不再那么喜欢玩纸团了,不再跳得高,甚至懒得跳。
我以为,是我太懒了,不是个好玩伴,他需要只猫。
很多信号,我都错过了,比如说呕吐。
有一次,他一连吐了三天,都吐在床上,导致家里被子被单全洗了。第四天,我盖着沙发毯睡在沙发上,跟他说,张二娃,看看你干的好事!
从此以后,他再也没在床上吐过,总是忍住恶心下床去吐(呕吐常发生在半夜)。
这个情况,在仙女来后,变得严重。
他能吃能喝能睡,鼻子冰冰凉,我以为最多是个应激性肠胃炎。毕竟,这么多年,他除了一次很快康复的口炎,从未有过不适的表现。我以为,他是只虽然脾气很坏但很健康的猫。
结果,从12月19号第一次以肠胃炎为基础的看诊,到现在……心脏病晚期,I B D肠炎,疑似小淋巴瘤…..小动物不会说话,你以为他一直过得很开心很健康,根本不知道他都经历了些什么,一个小小的身体默默忍受了什么。(再说一次定期体检的重要,一定要找靠谱专业的医生)
杜大夫说,猫的心脏病是很难发现的,发现时一般来说都是猝死的时候,或者已到晚期。
如果可以选择,你愿意选毫不知情的突然离别(猝死),还是被告知了时间的相聚呢?
我选择后者。
虽然,我不再打算给二娃改名,升级回二宝了,但他确实是我的宝贝,我的朋友,我的伴侣,我实实在在爱着的小小生命,无人知晓,却在我生命里非常重要的小小生命。
剩下的每一分钟,都是相聚。像不像个奇迹?两个不同种的哺乳动物,语言不通,生存方式迥异,却在有生之年建立起一段平平无奇但彼此依赖(我能单方面说深深的吗)的友谊。
除了我的父母,这个地球上,陪伴我生活时间最久的是只猫,他名叫张二娃,我感到很荣幸。 https://t.cn/RI7nYAL
这两天气喘又严重了,照胸片,肺部再次积水;做B超,心脏病发展迅速;因为呕吐频繁,扫描肠胃,有小淋巴瘤的征兆。
打利尿针,吸氧,开药(一天要吃七八种,每天两次),装留置针……
杜大夫明确说,快的话就是三个月,慢的话,最多到过年,很可能到不了。
虽然之前有心理准备,还是哭了。
今年6月21号,二娃满十三岁,说老不老。09年,在重庆猫友群领养了刚满一岁的他。整个就…精神很分裂,边吼你,边往你身上蹭,趁你睡着了躺你胳膊上,醒了摸他一把,又呲牙咧嘴凶你。
我有过一只折耳,叫张家宝(我独自养的第一只猫),意外身故后,意难平,才领养了同是折耳的二娃。本来,是给他取名张二宝的,但太凶了,一气之下降级为张二娃。
二娃胆子很大,一次从窗户跑出去,跳到楼下雨棚上(我家21楼),我把自己拴在窗沿,几乎半挂在外面,才把他捞回来。他吓懵了,从此对探险活动再无兴趣。
喜欢玩纸团,听到卷筒纸摩擦声就兴奋,扔给他,可以跳到天花板那么高,真的。但塑料口袋的摩擦声,一听就跑,不知受过什么刺激。
超级占强,在家必须是老大,稍微能让我一点点,其他人都是小弟。
原主人本来叫他蛋蛋,蛋蛋来我家第一件事就是摘了蛋蛋。
所以没有过老婆,大概以为我是他老婆。
半夜老来踩奶,呼噜噜的,钻被窝,两只爪爪搂着你脖子,鼻子还凑过来,贴着脸,湿乎乎的。踩够了,又觉得失态,骂你两句,跑了。
道明寺吗?!莫名其妙。
唉……这个奇奇怪怪的小生命,和我生活了一辈子,还是有很多我读不懂的行径。不过,他似乎越来越懂我。
我来北京后,和他异地了三年,妈妈帮我照顾他。三年后,在一个极强暴雨的夏天从重庆坐飞机来到北京我的身边,简直历尽艰辛。看着航空箱里可怜巴巴的他,我就想,再也不分开了。
他是怎么想的呢?我不知道。但他好像意识到,在北京这件小小的屋子里,从此他只有我,我只有他。
他基本不再凶我了(其他人照凶);
他一度想改变我颠三倒四的作息(跟着我妈三年,早睡早起),每晚十一点就上床躺着对我喊,后来放弃了[允悲];
他开始喜欢让我抱着,在屋里走来走去,东看看西看看,以他平时不能所及的视线重新审视房间,当然,有时候我也会跟在他屁股后面爬行,看看他看到的世界;
但他不再那么喜欢玩纸团了,不再跳得高,甚至懒得跳。
我以为,是我太懒了,不是个好玩伴,他需要只猫。
很多信号,我都错过了,比如说呕吐。
有一次,他一连吐了三天,都吐在床上,导致家里被子被单全洗了。第四天,我盖着沙发毯睡在沙发上,跟他说,张二娃,看看你干的好事!
从此以后,他再也没在床上吐过,总是忍住恶心下床去吐(呕吐常发生在半夜)。
这个情况,在仙女来后,变得严重。
他能吃能喝能睡,鼻子冰冰凉,我以为最多是个应激性肠胃炎。毕竟,这么多年,他除了一次很快康复的口炎,从未有过不适的表现。我以为,他是只虽然脾气很坏但很健康的猫。
结果,从12月19号第一次以肠胃炎为基础的看诊,到现在……心脏病晚期,I B D肠炎,疑似小淋巴瘤…..小动物不会说话,你以为他一直过得很开心很健康,根本不知道他都经历了些什么,一个小小的身体默默忍受了什么。(再说一次定期体检的重要,一定要找靠谱专业的医生)
杜大夫说,猫的心脏病是很难发现的,发现时一般来说都是猝死的时候,或者已到晚期。
如果可以选择,你愿意选毫不知情的突然离别(猝死),还是被告知了时间的相聚呢?
我选择后者。
虽然,我不再打算给二娃改名,升级回二宝了,但他确实是我的宝贝,我的朋友,我的伴侣,我实实在在爱着的小小生命,无人知晓,却在我生命里非常重要的小小生命。
剩下的每一分钟,都是相聚。像不像个奇迹?两个不同种的哺乳动物,语言不通,生存方式迥异,却在有生之年建立起一段平平无奇但彼此依赖(我能单方面说深深的吗)的友谊。
除了我的父母,这个地球上,陪伴我生活时间最久的是只猫,他名叫张二娃,我感到很荣幸。 https://t.cn/RI7nYAL
#美国安局网络间谍又一主力装备曝光#细思极恐!美国安局网络间谍又一主力装备曝光!让你的信息大门敞开
在日前美国国家安全局(NSA)组织针对全球数亿公民及行业龙头企业长达十余年的网络攻击被曝光后,美国国安局网络攻击武器库中的又一种主力装备露出马脚。
国家计算机病毒应急处理中心14日正式发布了美国国家安全局专用“NOPEN”远程木马技术分析报告,将美国情治部门的网络间谍手段揭露在世人面前。
《环球时报》记者注意到,根据报告描述,“NOPEN”远程木马一旦被植入受害者计算机,就会成为“潜伏者”,随时向攻击者敞开“金库大门”,各种机密数据、敏感信息“一览无余”。有证据显示,该款木马已经控制全球各地海量的互联网设备,窃取了规模庞大的用户隐私数据。
“NOPEN”远控木马分析报告
近日,国家计算机病毒应急处理中心对名为“NOPEN”的木马工具进行了攻击场景复现和技术分析。该木马工具针对Unix/Linux平台,可实现对目标的远程控制。根据“影子经纪人”泄露的NSA内部文件,该木马工具为美国国家安全局开发的网络武器。“NOPEN”木马工具是一款功能强大的综合型木马工具,也是美国国家安全局接入技术行动处(TAO)对外攻击窃密所使用的主战网络武器之一。
一、基本情况
“NOPEN”木马工具为针对Unix/Linux系统的远程控制工具,主要用于文件窃取、系统提权、网络通信重定向以及查看目标设备信息等,是TAO远程控制受害单位内部网络节点的主要工具。通过技术分析,我单位认为,“NOPEN”木马工具编码技术复杂、功能全面、隐蔽性强、适配多种处理器架构和操作系统,并且采用了插件式结构,可以与其他网络武器或攻击工具进行交互和协作,是典型的用于网络间谍活动的武器工具。
二、具体功能
“NOPEN”木马工具包含客户端“noclient”和服务端“noserver”两部分,客户端会采取发送激活包的方式与服务端建立连接,使用RSA算法进行秘钥协商,使用RC6算法加密通信流量。
该木马工具设计复杂,支持功能众多,主要包括以下功能:内网端口扫描、端口复用、建立隧道、文件处理(上传、下载、删除、重命名、计算校验值)、目录遍历、邮件获取、环境变量设置、进程获取、自毁消痕等。
三、技术分析
经技术分析与研判,该木马工具针对Unix/Linux平台,可在主控端和受控端之间建立隐蔽加密信道,攻击者可通过向目标发送远程指令,实现远程获取目标主机环境信息、上传/下载/创建/修改/删除文件、远程执行命令、网络流量代理转发、内网扫描、窃取电子邮件信息、自毁等恶意功能。该木马工具包含主控端(Client)和受控端(Server)两个部分,具体分析结果如下:
(一)主控端功能分析
文件名:Noclient
MD5:188974cea8f1f4bb75e53d490954c569
SHA-1:a84ac3ea04f28ff1a2027ee0097f69511af0ed9d
SHA-256:ed2c2d475977c78de800857d3dddc739
57d219f9bb09a9e8390435c0b6da21ac
文件大小:241.2KB(241192 字节)
文件类型:ELF32
文件最后修改时间:2011-12-8 19:07:48
支持处理器架构:i386, i486, i586, i686, sparc, alpha, x86_64, amd64
支持操作系统:FreeBSD、SunOS、HP-UX、Solaris、Linux
主控端的主要功能是连接受控端和向受控端发送指令并接收受控端回传的信息:
1、连接目标受控端
主控端通过以下命令行连接目标受控端:
noclient [参数1:目标主机IP地址]:[端口号(默认为32754)]
连接成功后会组合采用RC6+RSA加密算法,在主控端与受控端之间建立加密信道。并回显主控端与被控端基本信息,包括:IP地址和端口号、软件版本、当前工作目录、进程号(PID)、操作系统版本和内核版本、日期时间等。同时主控端建立监听端口(默认为1025),接受受控端的反向连接。
2、命令控制
主控端与被控端成功建立连接后,攻击者可通过主控端控制台向受控端发送指令,该木马工具提供的指令非常丰富。开发者还给出了详细的指令帮助说明。
其中远程控制指令如下所示:
-elevate:提升权限
-getenv:获取环境变量
-gs:未知
-setenv:设置环境变量
-shell:返回命令行接口
-status:查看当前连接状态、本地与远程主机环境信息
-time:查看本地与远程主机的日期、时间和时区信息
-burn:终止控制并关闭远程进程
-call ip port:设置回连IP地址和端口号
-listen port:设置监听端口号
-pid:查看远程受控端进程ID
-icmptimetarget_ip [source_ip]:远程Ping目标地址,查看时延
-ifconfig:查看远程主机的IP地址设置和MAC地址
-nslookup:远程对指定域名进行解析
-ping:远程Ping目标地址,用于内网探测
-trace:远程traceroute
-fixudp port:指定UDP传输端口
另外,还有一些隐藏指令并没有被在控制台帮助中列出,如“-hammy”、“-trigger”、“-triggerold”和“-sniff”等。经研判可能是与其他网络武器或攻击工具之间的功能调用接口。
(二)受控端功能分析
文件名:noserver_linux
MD5:9081d61fabeb9919e4e3fa84227999db
SHA-1:0274bd33c2785d4e497b6ba49f5485caa52a0855
SHA-256:4acc94c6be340fb8ef4133912843aa0e
4ece01d8d371209a01ccd824f519a9ca
文件大小:357KB(356996 字节)
文件类型:ELF32
文件最后修改时间:2011-12-8 19:07:48
受控端被加载运行后会默认监听32754端口。
受控端程序为了干扰和对抗分析,进行了去符号操作,结合代码功能,分析受控端程序的主要功能如下所示:
1.KillProc、kill:终止指定进程
2.Chmod:为指定对象赋权限
3.GetCWD:获得当前工作目录
4.GetPid:获得当前进程ID
5.DeleteFile_Dir:删除指定文件或目录
6.GetFileMD5:获得指定文件MD5摘要
7.GetPCInfo:获得所在主机环境信息
8.Recv:上传、下载数据
9.Connect:建立socket连接
受控端根据主控端指令组合调用相应模块执实现相关恶意操作。
四、使用环境
“NOPEN”木马工具支持在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各类操作系统上运行,同时兼容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多种体系架构,适用范围较广。根据监控情况,该木马工具主要用于在受害单位内网中执行各类攻击指令,结合其他取情、嗅探工具,级联窃取核心数据。
五、植入方式
“NOPEN”木马工具支持多种植入运行方式,包括手动植入、工具植入、自动化植入等,其中最常见的植入方式是结合远程漏洞攻击自动化植入至目标系统中,以便规避各种安全防护机制。此外,TAO还研发了一款名为Packrat的工具,可用于辅助植入“NOPEN”木马工具,其主要功能为对“NOPEN”木马工具进行压缩、编码、上传和启动。
六、使用控制方式
“NOPEN”木马工具主要包括8个功能模块,每个模块支持多个命令操作,TAO主要使用该武器对受害机构网络内部的核心业务服务器和关键网络设备实施持久化控制。其主要使用方式为:攻击者首先向安装有“NOPEN”木马工具的网内主机或设备发送特殊定制的激活包,“NOPEN”木马工具被激活后回连至控制端,加密连接建立后,控制端发送各类指令操作“NOPEN”木马工具实施网内渗透、数据窃取、其他武器上传等后续攻击窃密行为。
在日前美国国家安全局(NSA)组织针对全球数亿公民及行业龙头企业长达十余年的网络攻击被曝光后,美国国安局网络攻击武器库中的又一种主力装备露出马脚。
国家计算机病毒应急处理中心14日正式发布了美国国家安全局专用“NOPEN”远程木马技术分析报告,将美国情治部门的网络间谍手段揭露在世人面前。
《环球时报》记者注意到,根据报告描述,“NOPEN”远程木马一旦被植入受害者计算机,就会成为“潜伏者”,随时向攻击者敞开“金库大门”,各种机密数据、敏感信息“一览无余”。有证据显示,该款木马已经控制全球各地海量的互联网设备,窃取了规模庞大的用户隐私数据。
“NOPEN”远控木马分析报告
近日,国家计算机病毒应急处理中心对名为“NOPEN”的木马工具进行了攻击场景复现和技术分析。该木马工具针对Unix/Linux平台,可实现对目标的远程控制。根据“影子经纪人”泄露的NSA内部文件,该木马工具为美国国家安全局开发的网络武器。“NOPEN”木马工具是一款功能强大的综合型木马工具,也是美国国家安全局接入技术行动处(TAO)对外攻击窃密所使用的主战网络武器之一。
一、基本情况
“NOPEN”木马工具为针对Unix/Linux系统的远程控制工具,主要用于文件窃取、系统提权、网络通信重定向以及查看目标设备信息等,是TAO远程控制受害单位内部网络节点的主要工具。通过技术分析,我单位认为,“NOPEN”木马工具编码技术复杂、功能全面、隐蔽性强、适配多种处理器架构和操作系统,并且采用了插件式结构,可以与其他网络武器或攻击工具进行交互和协作,是典型的用于网络间谍活动的武器工具。
二、具体功能
“NOPEN”木马工具包含客户端“noclient”和服务端“noserver”两部分,客户端会采取发送激活包的方式与服务端建立连接,使用RSA算法进行秘钥协商,使用RC6算法加密通信流量。
该木马工具设计复杂,支持功能众多,主要包括以下功能:内网端口扫描、端口复用、建立隧道、文件处理(上传、下载、删除、重命名、计算校验值)、目录遍历、邮件获取、环境变量设置、进程获取、自毁消痕等。
三、技术分析
经技术分析与研判,该木马工具针对Unix/Linux平台,可在主控端和受控端之间建立隐蔽加密信道,攻击者可通过向目标发送远程指令,实现远程获取目标主机环境信息、上传/下载/创建/修改/删除文件、远程执行命令、网络流量代理转发、内网扫描、窃取电子邮件信息、自毁等恶意功能。该木马工具包含主控端(Client)和受控端(Server)两个部分,具体分析结果如下:
(一)主控端功能分析
文件名:Noclient
MD5:188974cea8f1f4bb75e53d490954c569
SHA-1:a84ac3ea04f28ff1a2027ee0097f69511af0ed9d
SHA-256:ed2c2d475977c78de800857d3dddc739
57d219f9bb09a9e8390435c0b6da21ac
文件大小:241.2KB(241192 字节)
文件类型:ELF32
文件最后修改时间:2011-12-8 19:07:48
支持处理器架构:i386, i486, i586, i686, sparc, alpha, x86_64, amd64
支持操作系统:FreeBSD、SunOS、HP-UX、Solaris、Linux
主控端的主要功能是连接受控端和向受控端发送指令并接收受控端回传的信息:
1、连接目标受控端
主控端通过以下命令行连接目标受控端:
noclient [参数1:目标主机IP地址]:[端口号(默认为32754)]
连接成功后会组合采用RC6+RSA加密算法,在主控端与受控端之间建立加密信道。并回显主控端与被控端基本信息,包括:IP地址和端口号、软件版本、当前工作目录、进程号(PID)、操作系统版本和内核版本、日期时间等。同时主控端建立监听端口(默认为1025),接受受控端的反向连接。
2、命令控制
主控端与被控端成功建立连接后,攻击者可通过主控端控制台向受控端发送指令,该木马工具提供的指令非常丰富。开发者还给出了详细的指令帮助说明。
其中远程控制指令如下所示:
-elevate:提升权限
-getenv:获取环境变量
-gs:未知
-setenv:设置环境变量
-shell:返回命令行接口
-status:查看当前连接状态、本地与远程主机环境信息
-time:查看本地与远程主机的日期、时间和时区信息
-burn:终止控制并关闭远程进程
-call ip port:设置回连IP地址和端口号
-listen port:设置监听端口号
-pid:查看远程受控端进程ID
-icmptimetarget_ip [source_ip]:远程Ping目标地址,查看时延
-ifconfig:查看远程主机的IP地址设置和MAC地址
-nslookup:远程对指定域名进行解析
-ping:远程Ping目标地址,用于内网探测
-trace:远程traceroute
-fixudp port:指定UDP传输端口
另外,还有一些隐藏指令并没有被在控制台帮助中列出,如“-hammy”、“-trigger”、“-triggerold”和“-sniff”等。经研判可能是与其他网络武器或攻击工具之间的功能调用接口。
(二)受控端功能分析
文件名:noserver_linux
MD5:9081d61fabeb9919e4e3fa84227999db
SHA-1:0274bd33c2785d4e497b6ba49f5485caa52a0855
SHA-256:4acc94c6be340fb8ef4133912843aa0e
4ece01d8d371209a01ccd824f519a9ca
文件大小:357KB(356996 字节)
文件类型:ELF32
文件最后修改时间:2011-12-8 19:07:48
受控端被加载运行后会默认监听32754端口。
受控端程序为了干扰和对抗分析,进行了去符号操作,结合代码功能,分析受控端程序的主要功能如下所示:
1.KillProc、kill:终止指定进程
2.Chmod:为指定对象赋权限
3.GetCWD:获得当前工作目录
4.GetPid:获得当前进程ID
5.DeleteFile_Dir:删除指定文件或目录
6.GetFileMD5:获得指定文件MD5摘要
7.GetPCInfo:获得所在主机环境信息
8.Recv:上传、下载数据
9.Connect:建立socket连接
受控端根据主控端指令组合调用相应模块执实现相关恶意操作。
四、使用环境
“NOPEN”木马工具支持在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各类操作系统上运行,同时兼容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多种体系架构,适用范围较广。根据监控情况,该木马工具主要用于在受害单位内网中执行各类攻击指令,结合其他取情、嗅探工具,级联窃取核心数据。
五、植入方式
“NOPEN”木马工具支持多种植入运行方式,包括手动植入、工具植入、自动化植入等,其中最常见的植入方式是结合远程漏洞攻击自动化植入至目标系统中,以便规避各种安全防护机制。此外,TAO还研发了一款名为Packrat的工具,可用于辅助植入“NOPEN”木马工具,其主要功能为对“NOPEN”木马工具进行压缩、编码、上传和启动。
六、使用控制方式
“NOPEN”木马工具主要包括8个功能模块,每个模块支持多个命令操作,TAO主要使用该武器对受害机构网络内部的核心业务服务器和关键网络设备实施持久化控制。其主要使用方式为:攻击者首先向安装有“NOPEN”木马工具的网内主机或设备发送特殊定制的激活包,“NOPEN”木马工具被激活后回连至控制端,加密连接建立后,控制端发送各类指令操作“NOPEN”木马工具实施网内渗透、数据窃取、其他武器上传等后续攻击窃密行为。
✋热门推荐