-
美國國家安全局“二次約會”間諜軟件分析報告發(fā)布
最后更新: 2023-09-14 10:22:45國家計算機病毒應急處理中心網(wǎng)站9月14日發(fā)布《“二次約會”間諜軟件分析報告》。
全文如下:
近日,國家計算機病毒應急處理中心和360公司對名為“二次約會”(SecondDate)的“間諜”軟件進行了技術分析,該“間諜”軟件針對基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平臺的路由器等網(wǎng)關設備平臺,可實現(xiàn)網(wǎng)絡流量竊聽劫持、中間人攻擊、插入惡意代碼等惡意功能,從而與其它“間諜”軟件配合完成復雜的網(wǎng)絡“間諜”活動。根據(jù)“影子經紀人”泄露的NSA內部文件,該惡意軟件為美國國家安全局(NSA)開發(fā)的網(wǎng)絡“間諜”武器?!癝econdDate”間諜軟件是一款中間人攻擊專用工具,一般駐留在目標網(wǎng)絡的邊界設備上,嗅探網(wǎng)絡流量并根據(jù)需要對特定網(wǎng)絡會話進行劫持、篡改。
在國家計算機病毒應急處理中心會同360公司配合偵辦西北工業(yè)大學被美國國家安全局(NSA)網(wǎng)絡攻擊案過程中,成功提取了這款間諜軟件的多個樣本,并鎖定了這起網(wǎng)絡“間諜”行動背后美國國家安全局(NSA)工作人員的真實身份。
一、基本情況
“二次約會”(SecondDate)間諜軟件主要部署在目標網(wǎng)絡邊界設備(網(wǎng)關、防火墻、邊界路由器等),隱蔽監(jiān)控網(wǎng)絡流量,并根據(jù)需要精準選擇特定網(wǎng)絡會話進行重定向、劫持、篡改。
技術分析發(fā)現(xiàn),“SecondDate”間諜軟件是一款高技術水平的網(wǎng)絡間諜工具。開發(fā)者應該具有非常深厚的網(wǎng)絡技術功底,尤其對網(wǎng)絡防火墻技術非常熟悉,其幾乎相當于在目標網(wǎng)絡設備上加裝了一套內容過濾防火墻和代理服務器,使攻擊者可以完全接管目標網(wǎng)絡設備以及流經該設備的網(wǎng)絡流量,從而實現(xiàn)對目標網(wǎng)絡中的其他主機和用戶實施長期竊密,并作為攻擊的“前進基地”,隨時可以向目標網(wǎng)絡投送更多網(wǎng)絡進攻武器。
二、具體功能
“二次約會”(SecondDate)間諜軟件長期駐留在網(wǎng)關、邊界路由器、防火墻等網(wǎng)絡邊界設備上,可針對海量數(shù)據(jù)流量進行精準過濾與自動化劫持,實現(xiàn)中間人攻擊功能。其主要功能包括網(wǎng)絡流量嗅探、網(wǎng)絡會話追蹤、流量重定向劫持、流量篡改等。
三、技術分析
該“間諜”軟件針對路由器、防火墻等網(wǎng)絡設備平臺,SecondDate支持分布式部署,由服務器端程序和客戶端程序構成,攻擊者事先通過其他方式將客戶端程序植入目標網(wǎng)絡設備,然后使用服務器端程序對客戶端進行命令控制。其主要工作流程和技術分析結果如下:
(一)服務器端
服務器端的主要功能是與客戶端建立連接并下發(fā)控制規(guī)則,由客戶端完成相應惡意操作。如表1、圖1、圖2、圖3所示。
1、連接客戶端
通過在命令行參數(shù)中指定客戶端IP和端口號實現(xiàn)與客戶端建立連接。
2、獲得客戶端當前狀態(tài)
3、配置客戶端規(guī)則
如圖3所示,攻擊者可指定源IP地址、源端口、目的IP地址、目的端口、協(xié)議類型、TCP標志等對網(wǎng)絡流量進行過濾,并且可以指定匹配正則表達式文件以獲取特定內容的流量,并且能夠在流量中插入包含特定內容的文件。
(二)客戶端
從分析結果看,客戶端被植入并配置相應規(guī)則后,可以在網(wǎng)絡設備后臺靜默運行,攻擊者可以使用服務器端進行控制也可以直接登錄到網(wǎng)絡設備后臺進行命令控制。如表2、圖4、圖5和圖6所示。
1、指定本地端口
2、根據(jù)指令規(guī)則執(zhí)行相應操作
3、插入文件
4、指令集
經分析,客戶端支持的主要指令及其功能說明如表3所示。
客戶端指令集非常豐富,可以實現(xiàn)對網(wǎng)絡流量的內容過濾、中間人劫持以及內容注入等惡意操作。
四、使用環(huán)境
“二次約會”(SecondDate)間諜軟件支持在Linux、FreeBSD、Solaris、JunOS等各類操作系統(tǒng)上運行,同時兼容i386、x86、x64、SPARC等多種體系架構,適用范圍較廣。
五、植入方式
“二次約會”(SecondDate)間諜軟件通常結合特定入侵行動辦公室(TAO)的各類針對防火墻、路由器的網(wǎng)絡設備漏洞攻擊工具使用,在漏洞攻擊成功并獲得相應權限后,植入至目標設備。
六、使用控制方式
“二次約會”(SecondDate)間諜軟件分為服務端和控制端,服務端部署于目標網(wǎng)絡邊界設備上,通過底層驅動實時監(jiān)控、過濾所有流量;控制端通過發(fā)送特殊構造的數(shù)據(jù)包觸發(fā)激活機制后,服務端從激活包中解析回連IP地址并主動回連。網(wǎng)絡連接使用UDP協(xié)議,通信全程加密,通信端口隨機??刂贫丝梢詫Ψ斩说墓ぷ髂J胶徒俪帜繕诉M行遠程配置,根據(jù)實際需要選擇網(wǎng)內任意目標實施中間人攻擊。
我們與業(yè)內合作伙伴在全球范圍開展技術調查,經層層溯源,發(fā)現(xiàn)了上千臺遍布各國的網(wǎng)絡設備中仍在隱蔽運行“二次約會”間諜軟件及其衍生版本,并發(fā)現(xiàn)被美國國家安全局(NSA)遠程控制的跳板服務器,其中多數(shù)分布在德國、日本、韓國、印度和中國臺灣。在多國業(yè)內伙伴通力合作下,我們的工作取得重大突破,現(xiàn)已成功鎖定對西北工業(yè)大學發(fā)起網(wǎng)絡攻擊的美國國家安全局(NSA)工作人員的真實身份。
- 責任編輯: 房佶宜 
-
“我掐著人中,訂了國慶機票酒店”
2023-09-14 09:29 -
央視網(wǎng):項目爛尾了,問責不能再爛尾!
2023-09-14 09:25 -
新證據(jù)!網(wǎng)攻西工大神秘黑客身份被鎖定,“間諜軟件”是關鍵
2023-09-14 09:21 -
央企5名管理人員接受審查調查,涉中國能建總經理孫洪水等人
2023-09-14 09:19 廉政風暴 -
兒慈會負責人卷走千萬救命款?官方:詐騙屬個人行為,已自首
2023-09-14 09:02 慈善 -
我國科研人員成功繪制人體免疫系統(tǒng)發(fā)育圖譜
2023-09-14 08:29 科技前沿 -
城管踢打商戶,湖北通報:涉事城管已解聘,紀委介入
2023-09-14 07:41 -
區(qū)委副書記醉駕被查,副區(qū)長等人安排私企老板“頂包”,官方通報
2023-09-14 07:41 基層治理 -
馬朝旭會見俄駐華大使
2023-09-14 07:31 中國外交 -
癌癥晚期患者被拒乘飛機引熱議,國內多家航司稱醫(yī)生開證明可乘機
2023-09-14 07:29 -
廣東一中學安裝“人臉識別系統(tǒng)”每生收費100元/年?教育局通報
2023-09-14 07:25 中西教育 -
丁薛祥在香港第八屆“一帶一路”高峰論壇開幕式上發(fā)表主旨演講
2023-09-14 07:22 一帶一路 -
北京網(wǎng)信辦指導屬地重點網(wǎng)站平臺在熱搜熱榜設置固定辟謠位
2023-09-14 07:01 網(wǎng)絡謠言 -
霍啟剛任中糧集團外部董事
2023-09-13 21:55 國企備忘錄 -
被罰100萬,騰訊QQ回應
2023-09-13 21:46 依法治國 -
“特校性侵案律師閱卷時遭羈押”,法院通報
2023-09-13 21:26 依法治國 -
建議全面禁止共享單車?官方回應
2023-09-13 17:06 基層治理 -
如何被騙?又是怎么獲救的?被騙至緬甸的中科院博士回應
2023-09-13 15:41 -
中華兒慈會回應“河北負責人卷走千萬救命款”:志愿者所為
2023-09-13 15:23
相關推薦 -
最新聞 Hot
-
目睹這些場景,良心不會痛嗎
-
“金磚為什么火?因為沒走西方拉幫結派的老路”
-
“公用火力發(fā)電比例高于中國,美領導地位?!?/a>
-
他倆定期“秘密對話”?克宮回應
-
以色列襲擊黎巴嫩南部,致3名記者死亡
-
美衛(wèi)星解體恐殃及中國,“很難評估有多糟糕”
-
怕特朗普攪局,歐盟擬加碼“長期維持”對俄制裁
-
“伊朗已下令準備開戰(zhàn),考慮發(fā)射1000枚導彈回擊”
-
英國國王承認了,但也沒有提賠償
-
美國發(fā)布首份AI備忘錄,“得防中國戰(zhàn)略突襲”
-
“英國軍情五處完全在胡說八道”
-
普京回應“朝軍援俄”傳聞
-
被批“中國有支票美國有清單”,他又畫餅忽悠…
-
又嗆上了:野蠻人也好意思自詡捍衛(wèi)文明…
-
沒中國能成嗎?澳大利亞部長這么說
-
特朗普威脅襲擊莫斯科市中心?普京回應
-