“二次約會”間諜軟件分析報告:網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué) 美國相關(guān)人員真實身份被鎖定
近日,國家計算機病毒應(yīng)急處理中心和360公司對名為“二次約會”(SecondDate)的“間諜”軟件進行了技術(shù)分析,該“間諜”軟件針對基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平臺的路由器等網(wǎng)關(guān)設(shè)備平臺,可實現(xiàn)網(wǎng)絡(luò)流量竊聽劫持、中間人攻擊、插入惡意代碼等惡意功能,從而與其它“間諜”軟件配合完成復(fù)雜的網(wǎng)絡(luò)“間諜”活動。
根據(jù)“影子經(jīng)紀人”泄露的NSA內(nèi)部文件,該惡意軟件為美國國家安全局(NSA)開發(fā)的網(wǎng)絡(luò)“間諜”武器。“SecondDate”間諜軟件是一款中間人攻擊專用工具,一般駐留在目標(biāo)網(wǎng)絡(luò)的邊界設(shè)備上,嗅探網(wǎng)絡(luò)流量并根據(jù)需要對特定網(wǎng)絡(luò)會話進行劫持、篡改。
在國家計算機病毒應(yīng)急處理中心會同360公司配合偵辦西北工業(yè)大學(xué)被美國國家安全局(NSA)網(wǎng)絡(luò)攻擊案過程中,成功提取了這款間諜軟件的多個樣本,并鎖定了這起網(wǎng)絡(luò)“間諜”行動背后美國國家安全局(NSA)工作人員的真實身份。
一、基本情況
“二次約會”(SecondDate)間諜軟件主要部署在目標(biāo)網(wǎng)絡(luò)邊界設(shè)備(網(wǎng)關(guān)、防火墻、邊界路由器等),隱蔽監(jiān)控網(wǎng)絡(luò)流量,并根據(jù)需要精準選擇特定網(wǎng)絡(luò)會話進行重定向、劫持、篡改。
技術(shù)分析發(fā)現(xiàn),“SecondDate”間諜軟件是一款高技術(shù)水平的網(wǎng)絡(luò)間諜工具。開發(fā)者應(yīng)該具有非常深厚的網(wǎng)絡(luò)技術(shù)功底,尤其對網(wǎng)絡(luò)防火墻技術(shù)非常熟悉,其幾乎相當(dāng)于在目標(biāo)網(wǎng)絡(luò)設(shè)備上加裝了一套內(nèi)容過濾防火墻和代理服務(wù)器,使攻擊者可以完全接管目標(biāo)網(wǎng)絡(luò)設(shè)備以及流經(jīng)該設(shè)備的網(wǎng)絡(luò)流量,從而實現(xiàn)對目標(biāo)網(wǎng)絡(luò)中的其他主機和用戶實施長期竊密,并作為攻擊的“前進基地”,隨時可以向目標(biāo)網(wǎng)絡(luò)投送更多網(wǎng)絡(luò)進攻武器。
二、具體功能
“二次約會”(SecondDate)間諜軟件長期駐留在網(wǎng)關(guān)、邊界路由器、防火墻等網(wǎng)絡(luò)邊界設(shè)備上,可針對海量數(shù)據(jù)流量進行精準過濾與自動化劫持,實現(xiàn)中間人攻擊功能。其主要功能包括網(wǎng)絡(luò)流量嗅探、網(wǎng)絡(luò)會話追蹤、流量重定向劫持、流量篡改等。
三、技術(shù)分析
該“間諜”軟件針對路由器、防火墻等網(wǎng)絡(luò)設(shè)備平臺,SecondDate支持分布式部署,由服務(wù)器端程序和客戶端程序構(gòu)成,攻擊者事先通過其他方式將客戶端程序植入目標(biāo)網(wǎng)絡(luò)設(shè)備,然后使用服務(wù)器端程序?qū)蛻舳诉M行命令控制。其主要工作流程和技術(shù)分析結(jié)果如下:
(一)服務(wù)器端
服務(wù)器端的主要功能是與客戶端建立連接并下發(fā)控制規(guī)則,由客戶端完成相應(yīng)惡意操作。如表1、圖1、圖2、圖3所示。
1、連接客戶端
通過在命令行參數(shù)中指定客戶端IP和端口號實現(xiàn)與客戶端建立連接。
圖1 與客戶端建立連接
2、獲得客戶端當(dāng)前狀態(tài)
圖2 獲得客戶端狀態(tài)信息
3、配置客戶端規(guī)則
圖3 配置客戶端規(guī)則
如圖3所示,攻擊者可指定源IP地址、源端口、目的IP地址、目的端口、協(xié)議類型、TCP標(biāo)志等對網(wǎng)絡(luò)流量進行過濾,并且可以指定匹配正則表達式文件以獲取特定內(nèi)容的流量,并且能夠在流量中插入包含特定內(nèi)容的文件。
(二)客戶端
從分析結(jié)果看,客戶端被植入并配置相應(yīng)規(guī)則后,可以在網(wǎng)絡(luò)設(shè)備后臺靜默運行,攻擊者可以使用服務(wù)器端進行控制也可以直接登錄到網(wǎng)絡(luò)設(shè)備后臺進行命令控制。如表2、圖4、圖5和圖6所示。
1、指定本地端口
圖4 客戶端指定本地端口
2、根據(jù)指令規(guī)則執(zhí)行相應(yīng)操作
圖5 客戶端執(zhí)行控制指令
3、插入文件
圖6 客戶端執(zhí)行文件插入指令
4、指令集
經(jīng)分析,客戶端支持的主要指令及其功能說明如表3所示。
客戶端指令集非常豐富,可以實現(xiàn)對網(wǎng)絡(luò)流量的內(nèi)容過濾、中間人劫持以及內(nèi)容注入等惡意操作。
四、使用環(huán)境
“二次約會”(SecondDate)間諜軟件支持在Linux、FreeBSD、Solaris、JunOS等各類操作系統(tǒng)上運行,同時兼容i386、x86、x64、SPARC等多種體系架構(gòu),適用范圍較廣。
五、植入方式
“二次約會”(SecondDate)間諜軟件通常結(jié)合特定入侵行動辦公室(TAO)的各類針對防火墻、路由器的網(wǎng)絡(luò)設(shè)備漏洞攻擊工具使用,在漏洞攻擊成功并獲得相應(yīng)權(quán)限后,植入至目標(biāo)設(shè)備。
六、使用控制方式
“二次約會”(SecondDate)間諜軟件分為服務(wù)端和控制端,服務(wù)端部署于目標(biāo)網(wǎng)絡(luò)邊界設(shè)備上,通過底層驅(qū)動實時監(jiān)控、過濾所有流量;控制端通過發(fā)送特殊構(gòu)造的數(shù)據(jù)包觸發(fā)激活機制后,服務(wù)端從激活包中解析回連IP地址并主動回連。網(wǎng)絡(luò)連接使用UDP協(xié)議,通信全程加密,通信端口隨機。控制端可以對服務(wù)端的工作模式和劫持目標(biāo)進行遠程配置,根據(jù)實際需要選擇網(wǎng)內(nèi)任意目標(biāo)實施中間人攻擊。
我們與業(yè)內(nèi)合作伙伴在全球范圍開展技術(shù)調(diào)查,經(jīng)層層溯源,發(fā)現(xiàn)了上千臺遍布各國的網(wǎng)絡(luò)設(shè)備中仍在隱蔽運行“二次約會”間諜軟件及其衍生版本,并發(fā)現(xiàn)被美國國家安全局(NSA)遠程控制的跳板服務(wù)器,其中多數(shù)分布在德國、日本、韓國、印度和中國臺灣。在多國業(yè)內(nèi)伙伴通力合作下,我們的工作取得重大突破,現(xiàn)已成功鎖定對西北工業(yè)大學(xué)發(fā)起網(wǎng)絡(luò)攻擊的美國國家安全局(NSA)工作人員的真實身份。
隨著我國綜合國力的不斷增強和國際戰(zhàn)略格局的深刻變化,境外“間諜”情報機構(gòu)對我國開展間諜情報活動的力度不斷加大,通過網(wǎng)絡(luò)開展“間諜”竊密活動已成為主要手段之一。
在此背景下,我國政府、行業(yè)龍頭企業(yè)、大學(xué)、醫(yī)療機構(gòu)、科研單位等應(yīng)加快排查自身網(wǎng)絡(luò)“間諜”攻擊線索和安全隱患,與有能力的網(wǎng)絡(luò)安全公司合作獲取數(shù)字安全服務(wù),依托大數(shù)據(jù)、平臺、探針、專家構(gòu)建安全運營中心,低成本、高效能獲得數(shù)字安全能力。實現(xiàn)“看見”全網(wǎng)資產(chǎn)、全網(wǎng)態(tài)勢、國家級間諜攻擊活動,具備“處置”安全風(fēng)險、高級威脅、間諜行動等核心安全能力,最終能夠?qū)崟r分析、實時發(fā)現(xiàn)、實時阻斷、實時清理、實時恢復(fù)。
版權(quán)聲明:凡注明“來源:中國西藏網(wǎng)”或“中國西藏網(wǎng)文”的所有作品,版權(quán)歸高原(北京)文化傳播有限公司。任何媒體轉(zhuǎn)載、摘編、引用,須注明來源中國西藏網(wǎng)和署著作者名,否則將追究相關(guān)法律責(zé)任。
- 自然資源部部署低效用地再開發(fā)試點工作 決定在43個城市開展4年期試點
- 網(wǎng)絡(luò)安全人才如何評價?白皮書在福州發(fā)布
- 依法治網(wǎng),讓網(wǎng)絡(luò)在法治軌道上健康運行
- 市場監(jiān)管總局部署中秋國慶期間食品安全工作
- 江西千萬畝中稻陸續(xù)成熟 多環(huán)節(jié)聯(lián)動實現(xiàn)高效收割
- 中央臺辦:讓臺胞愿意來、留得住、融得進、發(fā)展好
- 福建省委副書記談閩臺融合發(fā)展:福建5年向金門供水近3000萬噸
- 小小社區(qū)法官工作站托起居民“穩(wěn)穩(wěn)的幸?!?/a>
- 生活中有哪些網(wǎng)絡(luò)安全隱患?記者探訪網(wǎng)絡(luò)安全博覽會
- 已開放36所高校對臺招生 在閩全日制臺生占全國1/6福建將進一步支持臺灣學(xué)生來閩求學(xué)研學(xué)