第90篇：美国APT的全球流量监听系统（Turmoil监听与Turbine涡轮）讲解与分析

‍

Part1 前言

大家好，我是ABC_123 。 根据国外泄露的资料显示，美国NSA在全球范围搭建了一整套流量监控系统，一旦发现有价值的目标，结合各种量子注入攻击手法， 可以劫持全世界任意地区上网用户的网页浏览流量 ，然后使用浏览器级别0day漏洞向目标用户的电脑植入后门程序。 本期ABC_123就给大家讲解一下美国APT的全球网络监听系统，由于整个系统非常复杂，本篇文章着重介绍该监听系统的两个重要组成部分： Turmoil（混乱）和Turbine（涡轮）系统 。

注： 关于美国APT的量子注入攻击手法，ABC_123曾在《 第63篇：美国NSA量子注入攻击的流量特征及检测方法 》一文中介绍过，这是量子注入攻击实现的一种方式。

关于美国APT的酸狐狸攻击平台，ABC_123曾在《 第58篇：美国安全局NSA入侵西北工业大学流程图梳理和分析 》一文中介绍过。

Part2 技术研究过程

首先看一张ABC_123根据国外资料绘制的使用 Turmoil混乱 与 Turbine涡轮 进行量子注入攻击的示意图，为了使读者能够更加清晰地理解这张图，本文会首先对Turmoil系统与Turbine系统进行介绍，文末会对完整的监听过程进行详细描述。

• Turmoil被动监听系统

Turmoil在国内文章被翻译为“混乱”，是美国NSA研发的一种被动情报收集系统，由分布在全球各个网络关键节点的数据监视传感器组成。 Turmoil通过被动监听的方式，持续不断地监视和采集全球网络中传输的各种敏感数据 。根据泄露的资料显示， Turmoil在数据包层面上进行操作， 以极高的性能完成流量的高速解码和条件匹配，结合特殊技术手段可以解密和分析部分VPN和VoIP加密流量。Turmoil提供了很多“分拣器（Selector）”， 这些分拣器用于筛选目标用户是否在使用谷歌、雅虎、脸书、skype等，操作人员可以 根据这些分拣器对互联网流量中有价值的数据信息进行识别和筛选，一旦识别到重要的目标，将会触发 Turbine涡轮系统 进行下一步操作。

图中的PPT中的绿色圆圈， 标注了美国APT分部在全球不同位置的Turmoil监听节点，Turmoil除了可以监听互联网通信流量以外，还可以监听卫星通讯、微波通信、海底光缆等流量，功能非常强大 。 图中的MHS据推测指的是Menwith Hill，这是英国的曼维斯山军事基地，这个基地以完善的卫星地面站和情报收集活动而闻名，是美国国家安全局NSA以及英国政府通信总部GCHQ的一个重要的监听站点，也是“TURMOIL”监听网络的重要组成部分。

• XKEYSCORE关键得分系统

XKeyscore国内翻译为“ 关键得分 ”， 早在2008年就已经投入使用， 是美国NSA研发的功能非常强大的情报分析系统，也可以理解为一个强大的数据库，由部署在全球各个节点的Linux集群构成。美国APT工作人员可以使用XKeyscore完成各种操作：查找与犯罪事件、间谍事件相关联的人员信息，比如使用语言不是所在地区的人、使用加密通信技术的人、搜索网络中可疑的犯罪分子；通过用户名、域名对会话中的所有Email地址进行检索；通过文件名、扩展名对会话中的文件进行提取；索引客户端HTTP流量进行跟踪；索引会话中用户的电话号；索引用户的聊天记录、在线好友、特定Cookies等。

TURMOIL只处理网络数据包，而不处理会话信息，它会筛选出有价值的网络数据包转发给XKEYSCORE进行存储， XKEYSCORE会将这些数据包进行会话化处理，并通过XKS 界面为NSA人员提供分析和搜索的功能 ，从而实现对网络空间攻击目标的发现与确定。美国曾经通过XKeyscore系统生成的情报，成功抓捕了300多名恐怖分子。关于XKEYSCORE系统，后续ABC_123会专门写文章介绍。

• TURBINE任务逻辑控制系统

Turbine是主动数据窃取系统，通常与Turmoil（混乱）系统协作，主要功能为将恶意软件植入目标机器。当Turbine接收到Turmoil系统的消息通知，首先会对Turmoil提交的内容作进一步判定，如果判定是重要目标， 会在一秒钟内将流量转发到美国TAO的网络节点 （如部署在互联网骨干节点的酸狐狸0day攻击平台），使用不同的量子注入攻击方法（包括量子DNS攻击手段等）获取目标计算机权限。Turbine也提供了图形界面，方便NSA的工作人员手工进行选择、定位和发布任务。

如上图所示，不同国家不同地区的Turmoil节点发现了有价值目标或者攻击流量，通过发送消息通知的方式告知Turbine系统。Turbine涡轮系统将这些目标的流量重定向到美国TAO的攻击平台，攻击平台利用漏洞下发Implants（木马植入），获取目标机器权限。

• Turmoil与Turbine协作使用场景

第1步 普通用户打开浏览器访问Facebook网站的首页，请求流量经过交换机到达Facebook官网，等待Facebook返回网页内容。

第2步 Facebook官网返回正常的应答包，将Facebook官网的首页内容返回给用户，用户的浏览器对这些返回数据进行渲染，为用户展示出漂亮的网页。这是在没有流量监听、没有流量劫持情况下正常的网络流量走向情况。

第3步 在正常用户的请求数据包到达Facebook官网的线路上，存在美国APT的 Turmoil监听节点 ，它通过各种 分拣器 发现了该浏览Facebook网站的用户是某国家重要情报人员，于是自动化给Turbine系统下发消息通知。

第4步 Turbine系统进一步判断该目标确实是有价值的人员电脑，于是在目标用户的网络线路上，找到一个安装了 SBZ后门 的被称为" 量子射手 "的跳板节点，通过此节点向受害者发送一个重定向请求数据包，这个数据包会先于Facebook网站的正常返回包到达目标受害者的个人电脑。