中國西藏網(wǎng) > 即時新聞 > 文化

“二次約會”間諜軟件分析報告:網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué) 美國相關(guān)人員真實身份被鎖定

發(fā)布時間:2023-09-14 14:27:00來源: 央視新聞客戶端

  近日,國家計算機病毒應(yīng)急處理中心和360公司對名為“二次約會”(SecondDate)的“間諜”軟件進行了技術(shù)分析,該“間諜”軟件針對基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平臺的路由器等網(wǎng)關(guān)設(shè)備平臺,可實現(xiàn)網(wǎng)絡(luò)流量竊聽劫持、中間人攻擊、插入惡意代碼等惡意功能,從而與其它“間諜”軟件配合完成復(fù)雜的網(wǎng)絡(luò)“間諜”活動。

  根據(jù)“影子經(jīng)紀人”泄露的NSA內(nèi)部文件,該惡意軟件為美國國家安全局(NSA)開發(fā)的網(wǎng)絡(luò)“間諜”武器。“SecondDate”間諜軟件是一款中間人攻擊專用工具,一般駐留在目標(biāo)網(wǎng)絡(luò)的邊界設(shè)備上,嗅探網(wǎng)絡(luò)流量并根據(jù)需要對特定網(wǎng)絡(luò)會話進行劫持、篡改。

  在國家計算機病毒應(yīng)急處理中心會同360公司配合偵辦西北工業(yè)大學(xué)被美國國家安全局(NSA)網(wǎng)絡(luò)攻擊案過程中,成功提取了這款間諜軟件的多個樣本,并鎖定了這起網(wǎng)絡(luò)“間諜”行動背后美國國家安全局(NSA)工作人員的真實身份。

  一、基本情況

  “二次約會”(SecondDate)間諜軟件主要部署在目標(biāo)網(wǎng)絡(luò)邊界設(shè)備(網(wǎng)關(guān)、防火墻、邊界路由器等),隱蔽監(jiān)控網(wǎng)絡(luò)流量,并根據(jù)需要精準選擇特定網(wǎng)絡(luò)會話進行重定向、劫持、篡改。

  技術(shù)分析發(fā)現(xiàn),“SecondDate”間諜軟件是一款高技術(shù)水平的網(wǎng)絡(luò)間諜工具。開發(fā)者應(yīng)該具有非常深厚的網(wǎng)絡(luò)技術(shù)功底,尤其對網(wǎng)絡(luò)防火墻技術(shù)非常熟悉,其幾乎相當(dāng)于在目標(biāo)網(wǎng)絡(luò)設(shè)備上加裝了一套內(nèi)容過濾防火墻和代理服務(wù)器,使攻擊者可以完全接管目標(biāo)網(wǎng)絡(luò)設(shè)備以及流經(jīng)該設(shè)備的網(wǎng)絡(luò)流量,從而實現(xiàn)對目標(biāo)網(wǎng)絡(luò)中的其他主機和用戶實施長期竊密,并作為攻擊的“前進基地”,隨時可以向目標(biāo)網(wǎng)絡(luò)投送更多網(wǎng)絡(luò)進攻武器。

  二、具體功能

  “二次約會”(SecondDate)間諜軟件長期駐留在網(wǎng)關(guān)、邊界路由器、防火墻等網(wǎng)絡(luò)邊界設(shè)備上,可針對海量數(shù)據(jù)流量進行精準過濾與自動化劫持,實現(xiàn)中間人攻擊功能。其主要功能包括網(wǎng)絡(luò)流量嗅探、網(wǎng)絡(luò)會話追蹤、流量重定向劫持、流量篡改等。

  三、技術(shù)分析

  該“間諜”軟件針對路由器、防火墻等網(wǎng)絡(luò)設(shè)備平臺,SecondDate支持分布式部署,由服務(wù)器端程序和客戶端程序構(gòu)成,攻擊者事先通過其他方式將客戶端程序植入目標(biāo)網(wǎng)絡(luò)設(shè)備,然后使用服務(wù)器端程序?qū)蛻舳诉M行命令控制。其主要工作流程和技術(shù)分析結(jié)果如下:

  (一)服務(wù)器端

  服務(wù)器端的主要功能是與客戶端建立連接并下發(fā)控制規(guī)則,由客戶端完成相應(yīng)惡意操作。如表1、圖1、圖2、圖3所示。

  1、連接客戶端

  通過在命令行參數(shù)中指定客戶端IP和端口號實現(xiàn)與客戶端建立連接。

  圖1 與客戶端建立連接

  2、獲得客戶端當(dāng)前狀態(tài)

  圖2 獲得客戶端狀態(tài)信息

  3、配置客戶端規(guī)則

  圖3 配置客戶端規(guī)則

  如圖3所示,攻擊者可指定源IP地址、源端口、目的IP地址、目的端口、協(xié)議類型、TCP標(biāo)志等對網(wǎng)絡(luò)流量進行過濾,并且可以指定匹配正則表達式文件以獲取特定內(nèi)容的流量,并且能夠在流量中插入包含特定內(nèi)容的文件。

  (二)客戶端

  從分析結(jié)果看,客戶端被植入并配置相應(yīng)規(guī)則后,可以在網(wǎng)絡(luò)設(shè)備后臺靜默運行,攻擊者可以使用服務(wù)器端進行控制也可以直接登錄到網(wǎng)絡(luò)設(shè)備后臺進行命令控制。如表2、圖4、圖5和圖6所示。

  1、指定本地端口

  圖4 客戶端指定本地端口

  2、根據(jù)指令規(guī)則執(zhí)行相應(yīng)操作

  圖5 客戶端執(zhí)行控制指令

  3、插入文件

  圖6 客戶端執(zhí)行文件插入指令

  4、指令集

  經(jīng)分析,客戶端支持的主要指令及其功能說明如表3所示。

  客戶端指令集非常豐富,可以實現(xiàn)對網(wǎng)絡(luò)流量的內(nèi)容過濾、中間人劫持以及內(nèi)容注入等惡意操作。

  四、使用環(huán)境

  “二次約會”(SecondDate)間諜軟件支持在Linux、FreeBSD、Solaris、JunOS等各類操作系統(tǒng)上運行,同時兼容i386、x86、x64、SPARC等多種體系架構(gòu),適用范圍較廣。

  五、植入方式

  “二次約會”(SecondDate)間諜軟件通常結(jié)合特定入侵行動辦公室(TAO)的各類針對防火墻、路由器的網(wǎng)絡(luò)設(shè)備漏洞攻擊工具使用,在漏洞攻擊成功并獲得相應(yīng)權(quán)限后,植入至目標(biāo)設(shè)備。

  六、使用控制方式

  “二次約會”(SecondDate)間諜軟件分為服務(wù)端和控制端,服務(wù)端部署于目標(biāo)網(wǎng)絡(luò)邊界設(shè)備上,通過底層驅(qū)動實時監(jiān)控、過濾所有流量;控制端通過發(fā)送特殊構(gòu)造的數(shù)據(jù)包觸發(fā)激活機制后,服務(wù)端從激活包中解析回連IP地址并主動回連。網(wǎng)絡(luò)連接使用UDP協(xié)議,通信全程加密,通信端口隨機。控制端可以對服務(wù)端的工作模式和劫持目標(biāo)進行遠程配置,根據(jù)實際需要選擇網(wǎng)內(nèi)任意目標(biāo)實施中間人攻擊。

  我們與業(yè)內(nèi)合作伙伴在全球范圍開展技術(shù)調(diào)查,經(jīng)層層溯源,發(fā)現(xiàn)了上千臺遍布各國的網(wǎng)絡(luò)設(shè)備中仍在隱蔽運行“二次約會”間諜軟件及其衍生版本,并發(fā)現(xiàn)被美國國家安全局(NSA)遠程控制的跳板服務(wù)器,其中多數(shù)分布在德國、日本、韓國、印度和中國臺灣。在多國業(yè)內(nèi)伙伴通力合作下,我們的工作取得重大突破,現(xiàn)已成功鎖定對西北工業(yè)大學(xué)發(fā)起網(wǎng)絡(luò)攻擊的美國國家安全局(NSA)工作人員的真實身份。

  隨著我國綜合國力的不斷增強和國際戰(zhàn)略格局的深刻變化,境外“間諜”情報機構(gòu)對我國開展間諜情報活動的力度不斷加大,通過網(wǎng)絡(luò)開展“間諜”竊密活動已成為主要手段之一。

  在此背景下,我國政府、行業(yè)龍頭企業(yè)、大學(xué)、醫(yī)療機構(gòu)、科研單位等應(yīng)加快排查自身網(wǎng)絡(luò)“間諜”攻擊線索和安全隱患,與有能力的網(wǎng)絡(luò)安全公司合作獲取數(shù)字安全服務(wù),依托大數(shù)據(jù)、平臺、探針、專家構(gòu)建安全運營中心,低成本、高效能獲得數(shù)字安全能力。實現(xiàn)“看見”全網(wǎng)資產(chǎn)、全網(wǎng)態(tài)勢、國家級間諜攻擊活動,具備“處置”安全風(fēng)險、高級威脅、間諜行動等核心安全能力,最終能夠?qū)崟r分析、實時發(fā)現(xiàn)、實時阻斷、實時清理、實時恢復(fù)。

(責(zé)編:常邦麗)

版權(quán)聲明:凡注明“來源:中國西藏網(wǎng)”或“中國西藏網(wǎng)文”的所有作品,版權(quán)歸高原(北京)文化傳播有限公司。任何媒體轉(zhuǎn)載、摘編、引用,須注明來源中國西藏網(wǎng)和署著作者名,否則將追究相關(guān)法律責(zé)任。

民县| 乡城县| 深泽县| 施秉县| 江陵县| 耒阳市| 安远县| 娱乐| 县级市| 弥渡县| 沾益县| 乐昌市| 霍林郭勒市| 苗栗县| 左贡县| 大宁县| 高青县| 万源市| 交城县| 分宜县| 隆子县| 揭西县| 太白县| 定日县| 太湖县| 怀来县| 内江市| 获嘉县| 武功县| 改则县| 徐州市| 廊坊市| 朝阳区| 晋州市| 金川县| 同江市| 贡嘎县| 灵川县| 罗田县| 梧州市|