近日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司對(duì)名為“二次約會(huì)”（SecondDate）的“間諜”軟件進(jìn)行了技術(shù)分析，該“間諜”軟件針對(duì)基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平臺(tái)的路由器等網(wǎng)關(guān)設(shè)備平臺(tái)，可實(shí)現(xiàn)網(wǎng)絡(luò)流量竊聽(tīng)劫持、中間人攻擊、插入惡意代碼等惡意功能，從而與其它“間諜”軟件配合完成復(fù)雜的網(wǎng)絡(luò)“間諜”活動(dòng)。

　　根據(jù)“影子經(jīng)紀(jì)人”泄露的NSA內(nèi)部文件，該惡意軟件為美國(guó)國(guó)家安全局（NSA）開(kāi)發(fā)的網(wǎng)絡(luò)“間諜”武器?！癝econdDate”間諜軟件是一款中間人攻擊專(zhuān)用工具，一般駐留在目標(biāo)網(wǎng)絡(luò)的邊界設(shè)備上，嗅探網(wǎng)絡(luò)流量并根據(jù)需要對(duì)特定網(wǎng)絡(luò)會(huì)話(huà)進(jìn)行劫持、篡改。

　　在國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心會(huì)同360公司配合偵辦西北工業(yè)大學(xué)被美國(guó)國(guó)家安全局（NSA）網(wǎng)絡(luò)攻擊案過(guò)程中，成功提取了這款間諜軟件的多個(gè)樣本，并鎖定了這起網(wǎng)絡(luò)“間諜”行動(dòng)背后美國(guó)國(guó)家安全局（NSA）工作人員的真實(shí)身份。

　　一、基本情況

　　“二次約會(huì)”（SecondDate）間諜軟件主要部署在目標(biāo)網(wǎng)絡(luò)邊界設(shè)備（網(wǎng)關(guān)、防火墻、邊界路由器等），隱蔽監(jiān)控網(wǎng)絡(luò)流量，并根據(jù)需要精準(zhǔn)選擇特定網(wǎng)絡(luò)會(huì)話(huà)進(jìn)行重定向、劫持、篡改。

　　技術(shù)分析發(fā)現(xiàn)，“SecondDate”間諜軟件是一款高技術(shù)水平的網(wǎng)絡(luò)間諜工具。開(kāi)發(fā)者應(yīng)該具有非常深厚的網(wǎng)絡(luò)技術(shù)功底，尤其對(duì)網(wǎng)絡(luò)防火墻技術(shù)非常熟悉，其幾乎相當(dāng)于在目標(biāo)網(wǎng)絡(luò)設(shè)備上加裝了一套內(nèi)容過(guò)濾防火墻和代理服務(wù)器，使攻擊者可以完全接管目標(biāo)網(wǎng)絡(luò)設(shè)備以及流經(jīng)該設(shè)備的網(wǎng)絡(luò)流量，從而實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)中的其他主機(jī)和用戶(hù)實(shí)施長(zhǎng)期竊密，并作為攻擊的“前進(jìn)基地”，隨時(shí)可以向目標(biāo)網(wǎng)絡(luò)投送更多網(wǎng)絡(luò)進(jìn)攻武器。

　　二、具體功能

　　“二次約會(huì)”（SecondDate）間諜軟件長(zhǎng)期駐留在網(wǎng)關(guān)、邊界路由器、防火墻等網(wǎng)絡(luò)邊界設(shè)備上，可針對(duì)海量數(shù)據(jù)流量進(jìn)行精準(zhǔn)過(guò)濾與自動(dòng)化劫持，實(shí)現(xiàn)中間人攻擊功能。其主要功能包括網(wǎng)絡(luò)流量嗅探、網(wǎng)絡(luò)會(huì)話(huà)追蹤、流量重定向劫持、流量篡改等。

　　三、技術(shù)分析

　　該“間諜”軟件針對(duì)路由器、防火墻等網(wǎng)絡(luò)設(shè)備平臺(tái)，SecondDate支持分布式部署，由服務(wù)器端程序和客戶(hù)端程序構(gòu)成，攻擊者事先通過(guò)其他方式將客戶(hù)端程序植入目標(biāo)網(wǎng)絡(luò)設(shè)備，然后使用服務(wù)器端程序?qū)蛻?hù)端進(jìn)行命令控制。其主要工作流程和技術(shù)分析結(jié)果如下：

　　（一）服務(wù)器端

　　服務(wù)器端的主要功能是與客戶(hù)端建立連接并下發(fā)控制規(guī)則，由客戶(hù)端完成相應(yīng)惡意操作。如表1、圖1、圖2、圖3所示。

　　1、連接客戶(hù)端

　　通過(guò)在命令行參數(shù)中指定客戶(hù)端IP和端口號(hào)實(shí)現(xiàn)與客戶(hù)端建立連接。

　　圖1 與客戶(hù)端建立連接

　　2、獲得客戶(hù)端當(dāng)前狀態(tài)

　　圖2 獲得客戶(hù)端狀態(tài)信息

　　3、配置客戶(hù)端規(guī)則

　　圖3 配置客戶(hù)端規(guī)則

　　如圖3所示，攻擊者可指定源IP地址、源端口、目的IP地址、目的端口、協(xié)議類(lèi)型、TCP標(biāo)志等對(duì)網(wǎng)絡(luò)流量進(jìn)行過(guò)濾，并且可以指定匹配正則表達(dá)式文件以獲取特定內(nèi)容的流量，并且能夠在流量中插入包含特定內(nèi)容的文件。

　　（二）客戶(hù)端

　　從分析結(jié)果看，客戶(hù)端被植入并配置相應(yīng)規(guī)則后，可以在網(wǎng)絡(luò)設(shè)備后臺(tái)靜默運(yùn)行，攻擊者可以使用服務(wù)器端進(jìn)行控制也可以直接登錄到網(wǎng)絡(luò)設(shè)備后臺(tái)進(jìn)行命令控制。如表2、圖4、圖5和圖6所示。

　　1、指定本地端口

　　圖4 客戶(hù)端指定本地端口

　　2、根據(jù)指令規(guī)則執(zhí)行相應(yīng)操作

　　圖5 客戶(hù)端執(zhí)行控制指令

　　3、插入文件

　　圖6 客戶(hù)端執(zhí)行文件插入指令

　　4、指令集

　　經(jīng)分析，客戶(hù)端支持的主要指令及其功能說(shuō)明如表3所示。

　　客戶(hù)端指令集非常豐富，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的內(nèi)容過(guò)濾、中間人劫持以及內(nèi)容注入等惡意操作。

　　四、使用環(huán)境

　　“二次約會(huì)”（SecondDate）間諜軟件支持在Linux、FreeBSD、Solaris、JunOS等各類(lèi)操作系統(tǒng)上運(yùn)行，同時(shí)兼容i386、x86、x64、SPARC等多種體系架構(gòu)，適用范圍較廣。

　　五、植入方式

　　“二次約會(huì)”（SecondDate）間諜軟件通常結(jié)合特定入侵行動(dòng)辦公室（TAO）的各類(lèi)針對(duì)防火墻、路由器的網(wǎng)絡(luò)設(shè)備漏洞攻擊工具使用，在漏洞攻擊成功并獲得相應(yīng)權(quán)限后，植入至目標(biāo)設(shè)備。

　　六、使用控制方式

　　“二次約會(huì)”（SecondDate）間諜軟件分為服務(wù)端和控制端，服務(wù)端部署于目標(biāo)網(wǎng)絡(luò)邊界設(shè)備上，通過(guò)底層驅(qū)動(dòng)實(shí)時(shí)監(jiān)控、過(guò)濾所有流量；控制端通過(guò)發(fā)送特殊構(gòu)造的數(shù)據(jù)包觸發(fā)激活機(jī)制后，服務(wù)端從激活包中解析回連IP地址并主動(dòng)回連。網(wǎng)絡(luò)連接使用UDP協(xié)議，通信全程加密，通信端口隨機(jī)?？刂贫丝梢詫?duì)服務(wù)端的工作模式和劫持目標(biāo)進(jìn)行遠(yuǎn)程配置，根據(jù)實(shí)際需要選擇網(wǎng)內(nèi)任意目標(biāo)實(shí)施中間人攻擊。

　　我們與業(yè)內(nèi)合作伙伴在全球范圍開(kāi)展技術(shù)調(diào)查，經(jīng)層層溯源，發(fā)現(xiàn)了上千臺(tái)遍布各國(guó)的網(wǎng)絡(luò)設(shè)備中仍在隱蔽運(yùn)行“二次約會(huì)”間諜軟件及其衍生版本，并發(fā)現(xiàn)被美國(guó)國(guó)家安全局（NSA）遠(yuǎn)程控制的跳板服務(wù)器，其中多數(shù)分布在德國(guó)、日本、韓國(guó)、印度和中國(guó)臺(tái)灣。在多國(guó)業(yè)內(nèi)伙伴通力合作下，我們的工作取得重大突破，現(xiàn)已成功鎖定對(duì)西北工業(yè)大學(xué)發(fā)起網(wǎng)絡(luò)攻擊的美國(guó)國(guó)家安全局（NSA）工作人員的真實(shí)身份。

　　隨著我國(guó)綜合國(guó)力的不斷增強(qiáng)和國(guó)際戰(zhàn)略格局的深刻變化，境外“間諜”情報(bào)機(jī)構(gòu)對(duì)我國(guó)開(kāi)展間諜情報(bào)活動(dòng)的力度不斷加大，通過(guò)網(wǎng)絡(luò)開(kāi)展“間諜”竊密活動(dòng)已成為主要手段之一。

　　在此背景下，我國(guó)政府、行業(yè)龍頭企業(yè)、大學(xué)、醫(yī)療機(jī)構(gòu)、科研單位等應(yīng)加快排查自身網(wǎng)絡(luò)“間諜”攻擊線(xiàn)索和安全隱患，與有能力的網(wǎng)絡(luò)安全公司合作獲取數(shù)字安全服務(wù)，依托大數(shù)據(jù)、平臺(tái)、探針、專(zhuān)家構(gòu)建安全運(yùn)營(yíng)中心，低成本、高效能獲得數(shù)字安全能力。實(shí)現(xiàn)“看見(jiàn)”全網(wǎng)資產(chǎn)、全網(wǎng)態(tài)勢(shì)、國(guó)家級(jí)間諜攻擊活動(dòng)，具備“處置”安全風(fēng)險(xiǎn)、高級(jí)威脅、間諜行動(dòng)等核心安全能力，最終能夠?qū)崟r(shí)分析、實(shí)時(shí)發(fā)現(xiàn)、實(shí)時(shí)阻斷、實(shí)時(shí)清理、實(shí)時(shí)恢復(fù)。