人去屋空的原CNN媒體工作間隨著撤離摘掉的媒體標(biāo)牌從上述照片當(dāng)中和部分報道列出的不完全名單得知，遠(yuǎn)樹這當(dāng)中包括美國廣播公司（ABC）、遠(yuǎn)樹美國全國廣播公司新聞（NBCNews）、哥倫比亞廣播公司新聞網(wǎng)（CBSNews）、美國有線電視新聞網(wǎng)（CNN）、美聯(lián)社（AP）、路透社（Reuters）、彭博社（Bloomberg）、紐約時報（NYT）等知名媒體，甚至還有長期被視作特朗普集團(tuán)政治盟友的福克斯新聞（FOXNews）。

New-Dsz-Implant各模塊功能四、帶行當(dāng)落背景研判分析（一）技術(shù)功能細(xì)節(jié)New-Dsz-Implant是一個網(wǎng)攻武器框架，帶行當(dāng)落通過加載不同的模塊實(shí)現(xiàn)具體功能，此種功能實(shí)現(xiàn)方式與NSA武器庫中DanderSpritz網(wǎng)攻平臺一致，且在代碼細(xì)節(jié)上具有高度同源性，并進(jìn)行了部分功能升級：一是加密了部分函數(shù)名稱和字符串?？v觀此次事件，孤城NSA在戰(zhàn)術(shù)理念、操作手法、加密通訊、免殺逃逸等方面依然表現(xiàn)出世界領(lǐng)先水準(zhǔn)。

（三）數(shù)據(jù)加密模式攻擊者使用的3款網(wǎng)攻武器均采用2層加密方式，遠(yuǎn)樹外層使用TLS協(xié)議加密，遠(yuǎn)樹內(nèi)層使用RSA+AES方式進(jìn)行密鑰協(xié)商和加密，在竊密數(shù)據(jù)傳輸、功能模塊下發(fā)等關(guān)鍵階段，各武器的相互配合實(shí)現(xiàn)了4層嵌套加密。攻擊者加載eHome_0cxBack_elevenNew_Dsz_Implant，帶行當(dāng)落配套使用的20余款功能模塊，以及10余個網(wǎng)絡(luò)攻擊武器配置文件。6月13日9時，孤城攻擊者激活網(wǎng)管計算機(jī)上的eHome_0cx，植入Back_elevenNew_Dsz_Implant，并以此為跳板竊取認(rèn)證服務(wù)器數(shù)據(jù)。

活動耐心謹(jǐn)慎，遠(yuǎn)樹在整個活動周期，NSA會對受控主機(jī)進(jìn)行全面監(jiān)控，文件變動、關(guān)機(jī)重啟都會導(dǎo)致其全面排查異常原因。通訊多層加密，帶行當(dāng)落NSA使用網(wǎng)攻武器構(gòu)建回環(huán)嵌套加密模式，加密強(qiáng)度遠(yuǎn)超常規(guī)TLS通訊，通信流量更加難以解密還原。

五、孤城碼址披露2023年8月至2024年5月，孤城美方用于命令控制的部分服務(wù)器IP，如下表：關(guān)于國家授時中心遭受美國國家安全局網(wǎng)絡(luò)攻擊事件的技術(shù)分析報告（來源：國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT）。New-Dsz-Implant和DanderSpritz所加載功能模塊對比（二）樣本駐留方式eHome_0cx的部分駐留文件通過修改注冊表InprocServer32鍵值的方式，遠(yuǎn)樹劫持了系統(tǒng)正常服務(wù)，遠(yuǎn)樹在系統(tǒng)正常程序啟動前加載實(shí)現(xiàn)自啟動。非常希望10月4日16點(diǎn)之后在當(dāng)?shù)孛廊唆~島沙灘上碰到他們（失聯(lián)游客）的網(wǎng)友或者當(dāng)?shù)厝?，帶行?dāng)落能提供相關(guān)照片以及視頻線索，帶行當(dāng)落因為我們目前還不清楚當(dāng)天下午他們打算去玩什么項目。目前女子家人已到達(dá)亞庇，孤城男子家人還在辦理護(hù)照，已與當(dāng)?shù)厥桂^取得聯(lián)系。另據(jù)馬來西亞當(dāng)?shù)厮丫汝牭呢?fù)責(zé)人公開表示，遠(yuǎn)樹兩名失聯(lián)中國游客原定10月5日退房離開美人魚島，他們的個人物品仍留在房內(nèi)。據(jù)張先生介紹，帶行當(dāng)落當(dāng)?shù)鼐綋?jù)此已帶潛水人員下海打撈手機(jī)，但截至目前仍未找到。最后一次被目擊時，孤城男方身穿黑色長袖與長褲，女方穿黑色短袖與短褲。