posted by wap, platform: Android
网关在tg那，你怎么折腾都被人掐着脖子

posted by wap, platform: iPhone
厉害厉害 还能 栽赃微软

posted by wap, platform: iPhone
完了，腾讯管家有人要进去了

posted by wap, platform: GOOGLE Nexus 5
11
DcmTeamMember   4 小时 27 分钟前
```
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

高度机密：“黑暗幽灵”（别名 DCM ）木马的未公开信息

前一篇文章发出来以后，很多人说里面所有的内容都是已经公开的信息，那么我就来披露一些未公开的非敏感信息吧。

从 DCM 木马的通信方式上来说， 2011 年时该木马构造一个 DNS 数据包，包头是 DNS 查询 microsoft.com 的子域名， payload 则是另一个
封装的数据包，其中包括文件名、文件大小、分片序号以及 LZMA 压缩后的实际数据内容。木马会将该数据包发往微软的一个 IP 地址，并
根据网络上行带宽控制发送速度。由于目标 IP 地址并不是一个有效的 DNS 服务器，所以木马不会收到任何回复数据。之所以发往微软的
IP 地址，是因为以下几方面考虑：
* 国外 IP
选择一个国外的 IP 地址会确保数据包通过城市出口，省出口以及中国的互联网国际出口，因此大幅提高我们截取到这些 DNS 数据包的成
功率，而且当用户携带被感染的笔记本电脑等便携式设备到其他没有布防的省市时，我们仍然可以从国际出口的 UDP 53 上行数据中截获
所需的数据。
* 降低可疑度
Windows 操作系统自身原本就会发送大量的关于 microsoft.com 域名的 DNS 请求，包括自动更新、错误报告等诸多功能，都会发往微软。
因此我们也伪装成相似的 DNS 请求，从而降低数据包的可疑度，即使触发了防火墙的报警，用户仍然有很大概率选择放行。
* 微软不是中国的“敌对势力”
起始最初我们曾经设置将数据发往 Google ，但我们的客户认为 Google 是“境外敌对势力”，将这些敏感数据发往 Google 是绝不可接受的。
于是经过讨论，我们认为微软本身作为操作系统的开发者，原本就有大量的隐私数据被发往微软，也不在乎再加一点。而且一旦此事真的
被大家发现了，安全专家开始关注这个木马（就像现在这样），微软还可以成为一个合理的“怀疑对象”，顺理成章的把我们的责任推到
微软的头上。

数据包的重组则依赖于多层网络探针设备，我前面已经说过了，这个木马的背后是一个国家机关，因此我们可以得到这些 DNS 数据包的
渠道是非常广泛的。以一个家庭用户为例，有以下节点可供我们获取这些数据：
* 运营商提供的宽带路由器或 Modem
部分型号是有预留后门的，可以直接远程激活。即使你家中的路由和 Modem 没有后门，在确实必要的情况下我们会干扰你的网络，迫使你
主动联系运营商进行维修，然后我们派人伪装成运营商工作人员去“维修”你家中的设备甚至直接建议你更换设备（设备老化之类的借口）
除此之外，我们还会在局域网内通过主动的扫描以及被动的监听等方式，来采集局域网内设备的信息，尤其是无线设备的信息。
* 小区交换机
很多小区有自己的电话交换机，我们会直接在电话交换机柜里加装小型低功耗设备，将你的网络数据镜像出来，并储存在设备的硬盘中
或转发到其他 IP 地址。如果使用转发模式，可能会复用你的宽带网络，反正用户在你家里抓包是绝对看不到任何异常的。
* ISP 机房
不用解释了，大家都知道怎么回事。 ISP 机房的好处是设备的功耗和体积没有限制，可以做更多的事。缺点是插拔电话线时会导致用户的
网络暂时中断，而且 ISP 机房又只在工作时间向我们开放，所以偶尔可能会被用户察觉到网络和电话突然中断几十秒到几分钟。
* 当地的公安机房
ISP 会将部分数据镜像给公安机关，主要是 TCP 80 上行和 UDP 53 上行，因为这两个端口的上行数据量都不大，而且包含了我们所关心的
大部分信息。这也是 DCM 木马选择使用 DNS 数据包的原因之一。
* 城市出口
一线二线的大城市的互联网出口几乎都有我们的设备，但 2011 年时中小城市的覆盖率则相对较低，现在的覆盖率恐怕已经包含了大部分
互联网发达的三级城市了。
* 省出口
国内所有的省级互联网出口都有大量的网络探针设备，其中有一部分是我们的，也有一些是其他机关部门的。
* 国际出口
其实国际出口我们是没有办法直接访问的，只是特例有需要的情况下可以拿到镜像数据而已，但这可以作为最后一个机会。

这里面有些层级是会暂时或长期地保留数据的，比如公安机房和国际出口，数据会被选择性的存储下来，供日后查阅。

不过那篇分析文章里找到 IP 地址是百度之类的国内 IP ，估计和最近几年的政策变动有关系。也许微软也成为了境外“敌对势力”之一，
从微软的 OneDrive 服务被墙就可以看出，中国对于微软也是不信任或者不完全信任的态度。

DCM Team Member
2016 年 4 月 17 日
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJXEtJCAAoJECudGUQ3ThEDhDkIAIjbT9K1qcwf3U0BVzm2Sal7
t/iv+2leM0XVrH+KiqKxOPPwS4AxuZXZLLz1GzistZJXozv+EhLJHZ3tcEazd1eE
Wfdx67//b5PM7TrFYniZmTnMXrMd6RiVu/Vhn/ynP6hbXMiRU+D9qPSymfKS85ZG
AtG7C6TSMshnClK1W/aJ8XtJ+wUmm6FOsp9gN62R63u/Aw/s6qonqoBLmqT7IILd
4zsgHG12fMgck8foepd+vRRunIVq5CCWBi01eiqnOpksom5rG0xwauIdCCAyfuDg
2NkIIY9nvbM41aLO5ImifE3NoHCy5dLnzriCwHRYtYHxqk4Qbk6socdLHwwjgFc=
=KwHw
-----END PGP SIGNATURE-----
```
Text encoding: UTF-8
PGP Key ID: 0xE75EDBBD207EA30C
dcm_member@mail2tor.com OR dcm_member@mail2tor2zyjdctd.onion


另外，有人说我的 PGP 密钥是在我发文的当天生成的。关于这个问题，我的回答其实很简单，你觉得如果我用一个自己用了好几年的密钥来签名这个内容，我还能匿名吗？
我签名这个文章内容的原因主要是 2 方面考虑，一是我不希望别人篡改这个内容然后转发出去，二是我不敢保证现在这个帐号还能存活多久，一旦因为某些原因导致我无法再继续使用这个帐号，我需要使用新的帐号发帖并能够证实我自己的身份。


===========
感觉略炸裂

posted by wap, platform: Windows
这种其实主要对付国外的，对内根本不需要这么麻烦。
对于在国内的来讲，你对于tg而言就是透明的，哪需要这么麻烦。