近日,国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析,结果显示该软件为美国国家安全局(NSA)开发的网络间谍武器。该软件具有多项恶意功能,包括网络流量窃听劫持、中间人攻击和插入恶意代码等,能够与其他恶意软件协作,完成复杂的网络“间谍”活动。据称,这款软件是高技术水平的网络间谍工具,使攻击者能够完全控制被攻击的网络设备和流经这些设备的网络流量,实现对目标网络中主机和用户的长期窃密,并可作为下一阶段攻击的“前进基地”。根据技术分析报告显示,“二次约会”间谍软件常驻于网关、边界路由器和防火墙等网络边界设备上,其主要功能包括网络流量嗅探、网络会话追踪、流量重定向劫持和流量篡改等。
该间谍软件支持在各类操作系统上运行,同时兼容多种体系架构,适用范围较广。通常,这款间谍软件与特定入侵行动办公室(TAO)的网络设备漏洞攻击工具结合使用。一旦漏洞攻击成功,攻击者就能够获得目标网络设备的控制权限,并将间谍软件植入其中。据报告显示,国家计算机病毒应急处理中心和360公司与合作伙伴在全球范围内进行技术调查,发现了上千台网络设备中潜伏的“二次约会”间谍软件及其衍生版本,并发现了被美国国家安全局(NSA)远程控制的跳板服务器,其中多数位于德国、日本、韩国、印度和中国台湾。在多国业内伙伴的通力合作下,联合调查工作取得了突破性进展。目前已成功锁定了针对西北工业大学发动网络攻击的美国国家安全局(NSA)相关工作人员的真实身份。
Solaris、Juniper JunOS等平台的路由器等网关设备平台,能够实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能,以与其他“间谍”软件配合,完成复杂的网络“间谍”活动。根据“影子经纪人”泄露的NSA内部文件,该恶意软件为美国国家安全局(NSA)开发的网络“间谍”武器。“SecondDate”间谍软件作为一款中间人攻击专用工具,一般部署在目标网络的边界设备上,嗅探网络流量,并根据需要对特定网络会话进行劫持和篡改。在国家计算机病毒应急处理中心与360公司合作的侦办中,成功提取了多个“二次约会”间谍软件样本,并锁定了背后的美国国家安全局(NSA)工作人员的真实身份。该软件主要部署在目标网络边界设备(如网关、防火墙、边界路由器等),以隐蔽监控网络流量,并根据需要对特定网络会话进行重定向、劫持和篡改。技术分析发现,“SecondDate”间谍软件是一款高技术水平的网络间谍工具,其开发者需要具备深厚的网络技术功底,尤其对网络防火墙技术了解深入,几乎相当于在目标网络设备上加装了一套专业的网络监控和攻击工具。
内容过滤防火墙和代理服务器,使攻击者可以完全接管目标网络设备以及流经该设备的网络流量,从而实现对目标网络中的其他主机和用户实施长期窃密,并作为攻击的“前进基地”,随时可以向目标网络投送更多网络进攻武器。“二次约会”(SecondDate)间谍软件长期驻留在网关、边界路由器、防火墙等网络边界设备上,可针对海量数据流量进行精准过滤与自动化劫持,实现中间人攻击功能。其主要功能包括网络流量嗅探、网络会话追踪、流量重定向劫持、流量篡改等。该“间谍”软件针对路由器、防火墙等网络设备平台,SecondDate支持分布式部署,由服务器端程序和客户端程序构成,攻击者事先通过其他方式将客户端程序植入目标网络设备,然后使用服务器端程序对客户端进行命令控制。其主要工作流程和技术分析结果如下:服务器端的主要功能是与客户端建立连接并下发控制规则,由客户端完成相应恶意操作。
志等对网络流量进行过滤,并且可以指定匹配正则表达式文件以获取特定内容的流量,并且能够在流量中插入包含特定内容的文件。从分析结果看,客户端被植入并配置相应规则后,可以在网络设备后台静默运行,攻击者可以使用服务器端进行控制也可以直接登录到网络设备后台进行命令控制。1、指定本地端口2、根据指令规则执行相应操作3、插入文件4、指令集经分析,客户端支持的主要指令及其功能说明如表3所示。客户端指令集非常丰富,可以实现对网络流量的内容过滤、中间人劫持以及内容注入等恶意操作。“二次约会”(SecondDate)间谍软件支持在Linux、FreeBSD、Solaris、JunOS等各类操作系统上运行,同时兼容i386、x86、x64、SPARC等多种体系架构,适用范围较广。“二次约会”(SecondDate)间谍软件通常结合特定入侵行动办公室(TAO)的各类针对防火墙、路由器的网络设备漏洞攻击工具使用,在漏洞攻击成功并获得相应权限后,植入至目标设备。“二次约会”(SecondDate)间谍软件分为服务端和控制端,服务端部署于目标网络边界设备上,通过底层驱动实时监
控、过滤所有流量;控制端通过发送特殊构造的数据包触发激活机制后,服务端从激活包中解析回连IP地址并主动回连。网络连接使用UDP协议,通信全程加密,通信端口随机。控制端可以对服务端的工作模式和劫持目标进行远程配置,根据实际需要选择网内任意目标实施中间人攻击。我们与业内合作伙伴在全球范围开展技术调查,经层层溯源,发现了上千台遍布各国的网络设备中仍在隐蔽运行“二次约会”间谍软件及其衍生版本,并发现被美国国家安全局(NSA)远程控制的跳板服务器,其中多数分布在德国、日本、韩国、印度和中国台湾。在多国业内伙伴通力合作下,我们的工作取得重大突破,现已成功锁定对西北工业大学发起网络攻击的美国国家安全局(NSA)工作人员的真实身份。
