360公司网络安全专家边亮:比如说我们抓到了一次,它在攻击的过程中,它发送脚本的命令是有错的,发错了,写错了,然后它这个工具会对攻击者进行提示,哪里出错会把出错信息返回给攻击者,给他以提示,这个信息里边就包括了攻击者他当前操作系统的环境,这样一来其实就暴露了攻击者相关的信息是美国的作战办公室(TAO)。
技术团队发现,北京时间20××年5月16日5时36分,对西北工业大学实施网络攻击人员利用位于韩国的跳板机(IP:222.122.××.××),并使用NOPEN木马再次攻击西北工业大学。在对西北工业大学内网实施第三级渗透后试图入侵控制一台网络设备时,在运行上传PY脚本工具时出现人为失误,未修改指定参数。脚本执行后返回出错信息,信息中暴露出攻击者上网终端的工作目录和相应的文件名,从中可知木马控制端的系统环境为Linux系统,且相应目录名“/etc/autoutils”系特定入侵行动办公室(TAO)网络攻击武器工具目录的专用名称(autoutils)。