美國國家安全局“二次約會”間諜軟件分析報告發佈

首頁 -> 內地

美國國家安全局“二次約會”間諜軟件分析報告發佈

分享到：

2023-09-14 10:52 | 稿件來源：香港新聞網

【字號：大中小】

香港新聞網9月14日電國家計算機病毒應急處理中心網站9月14日發佈《“二次約會”間諜軟件分析報告》。

全文如下：

近日，國家計算機病毒應急處理中心和360公司對名為“二次約會”（SecondDate）的“間諜”軟件進行了技術分析，該“間諜”軟件針對基於FreeBSD、Linux、Sun Solaris、Juniper JunOS等平台的路由器等網關設備平台，可實現網絡流量竊聽劫持、中間人攻擊、插入惡意代碼等惡意功能，從而與其它“間諜”軟件配合完成復雜的網絡“間諜”活動。根據“影子經紀人”泄露的NSA內部文件，該惡意軟件為美國國家安全局（NSA）開發的網絡“間諜”武器。“SecondDate”間諜軟件是一款中間人攻擊專用工具，一般駐留在目標網絡的邊界設備上，嗅探網絡流量並根據需要對特定網絡會話進行劫持、篡改。

在國家計算機病毒應急處理中心會同360公司配合偵辦西北工業大學被美國國家安全局（NSA）網絡攻擊案過程中，成功提取了這款間諜軟件的多個樣本，並鎖定了這起網絡“間諜”行動背後美國國家安全局（NSA）工作人員的真實身份。

一、基本情況

“二次約會”（SecondDate）間諜軟件主要部署在目標網絡邊界設備（網關、防火墻、邊界路由器等），隱蔽監控網絡流量，並根據需要精準選擇特定網絡會話進行重定向、劫持、篡改。

技術分析發現，“SecondDate”間諜軟件是一款高技術水平的網絡間諜工具。開發者應該具有非常深厚的網絡技術功底，尤其對網絡防火墻技術非常熟悉，其幾乎相當於在目標網絡設備上加裝了一套內容過濾防火墻和代理服務器，使攻擊者可以完全接管目標網絡設備以及流經該設備的網絡流量，從而實現對目標網絡中的其他主機和用戶實施長期竊密，並作為攻擊的“前進基地”，隨時可以向目標網絡投送更多網絡進攻武器。

二、具體功能

“二次約會”（SecondDate）間諜軟件長期駐留在網關、邊界路由器、防火墻等網絡邊界設備上，可針對海量數據流量進行精準過濾與自動化劫持，實現中間人攻擊功能。其主要功能包括網絡流量嗅探、網絡會話追蹤、流量重定向劫持、流量篡改等。

三、技術分析

該“間諜”軟件針對路由器、防火墻等網絡設備平台，SecondDate支持分佈式部署，由服務器端程序和客戶端程序構成，攻擊者事先通過其他方式將客戶端程序植入目標網絡設備，然後使用服務器端程序對客戶端進行命令控制。其主要工作流程和技術分析結果如下：

（一）服務器端

服務器端的主要功能是與客戶端建立連接並下發控制規則，由客戶端完成相應惡意操作。如表1、圖1、圖2、圖3所示。

1、連接客戶端

通過在命令行參數中指定客戶端IP和端口號實現與客戶端建立連接。

2、獲得客戶端當前狀態

3、配置客戶端規則

如圖3所示，攻擊者可指定源IP地址、源端口、目的IP地址、目的端口、協議類型、TCP標誌等對網絡流量進行過濾，並且可以指定匹配正則表達式文件以獲取特定內容的流量，並且能夠在流量中插入包含特定內容的文件。

（二）客戶端

從分析結果看，客戶端被植入並配置相應規則後，可以在網絡設備後台靜默運行，攻擊者可以使用服務器端進行控制也可以直接登錄到網絡設備後台進行命令控制。如表2、圖4、圖5和圖6所示。

1、指定本地端口

2、根據指令規則執行相應操作

3、插入文件

4、指令集

經分析，客戶端支持的主要指令及其功能說明如表3所示。

客戶端指令集非常豐富，可以實現對網絡流量的內容過濾、中間人劫持以及內容註入等惡意操作。

四、使用環境

“二次約會”（SecondDate）間諜軟件支持在Linux、FreeBSD、Solaris、JunOS等各類操作系統上運行，同時兼容i386、x86、x64、SPARC等多種體系架構，適用範圍較廣。

五、植入方式

“二次約會”（SecondDate）間諜軟件通常結合特定入侵行動辦公室（TAO）的各類針對防火墻、路由器的網絡設備漏洞攻擊工具使用，在漏洞攻擊成功並獲得相應權限後，植入至目標設備。

六、使用控制方式

“二次約會”（SecondDate）間諜軟件分為服務端和控制端，服務端部署於目標網絡邊界設備上，通過底層驅動實時監控、過濾所有流量；控制端通過發送特殊構造的數據包觸發激活機制後，服務端從激活包中解析回連IP地址並主動回連。網絡連接使用UDP協議，通信全程加密，通信端口隨機。控制端可以對服務端的工作模式和劫持目標進行遠程配置，根據實際需要選擇網內任意目標實施中間人攻擊。

我們與業內合作夥伴在全球範圍開展技術調查，經層層溯源，發現了上千台遍佈各國的網絡設備中仍在隱蔽運行“二次約會”間諜軟件及其衍生版本，並發現被美國國家安全局（NSA）遠程控制的跳板服務器，其中多數分佈在德國、日本、韓國、印度和中國台灣。在多國業內夥伴通力合作下，我們的工作取得重大突破，現已成功鎖定對西北工業大學發起網絡攻擊的美國國家安全局（NSA）工作人員的真實身份。

【編輯：丘志彬】