近日，國家計算機病毒應急處理中心和360公司對名為“二次約會”（SecondDate）的“間諜”軟件進行了技術分析，該“間諜”軟件針對基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平臺的路由器等網關設備平臺，可實現(xiàn)網絡流量竊聽劫持、中間人攻擊、插入惡意代碼等惡意功能，從而與其它“間諜”軟件配合完成復雜的網絡“間諜”活動。

　　根據“影子經紀人”泄露的NSA內部文件，該惡意軟件為美國國家安全局（NSA）開發(fā)的網絡“間諜”武器。“SecondDate”間諜軟件是一款中間人攻擊專用工具，一般駐留在目標網絡的邊界設備上，嗅探網絡流量并根據需要對特定網絡會話進行劫持、篡改。

　　在國家計算機病毒應急處理中心會同360公司配合偵辦西北工業(yè)大學被美國國家安全局（NSA）網絡攻擊案過程中，成功提取了這款間諜軟件的多個樣本，并鎖定了這起網絡“間諜”行動背后美國國家安全局（NSA）工作人員的真實身份。

　　一、基本情況

　　“二次約會”（SecondDate）間諜軟件主要部署在目標網絡邊界設備（網關、防火墻、邊界路由器等），隱蔽監(jiān)控網絡流量，并根據需要精準選擇特定網絡會話進行重定向、劫持、篡改。

　　技術分析發(fā)現(xiàn)，“SecondDate”間諜軟件是一款高技術水平的網絡間諜工具。開發(fā)者應該具有非常深厚的網絡技術功底，尤其對網絡防火墻技術非常熟悉，其幾乎相當于在目標網絡設備上加裝了一套內容過濾防火墻和代理服務器，使攻擊者可以完全接管目標網絡設備以及流經該設備的網絡流量，從而實現(xiàn)對目標網絡中的其他主機和用戶實施長期竊密，并作為攻擊的“前進基地”，隨時可以向目標網絡投送更多網絡進攻武器。

　　二、具體功能

　　“二次約會”（SecondDate）間諜軟件長期駐留在網關、邊界路由器、防火墻等網絡邊界設備上，可針對海量數(shù)據流量進行精準過濾與自動化劫持，實現(xiàn)中間人攻擊功能。其主要功能包括網絡流量嗅探、網絡會話追蹤、流量重定向劫持、流量篡改等。

　　三、技術分析

　　該“間諜”軟件針對路由器、防火墻等網絡設備平臺，SecondDate支持分布式部署，由服務器端程序和客戶端程序構成，攻擊者事先通過其他方式將客戶端程序植入目標網絡設備，然后使用服務器端程序對客戶端進行命令控制。其主要工作流程和技術分析結果如下：

　　（一）服務器端

　　服務器端的主要功能是與客戶端建立連接并下發(fā)控制規(guī)則，由客戶端完成相應惡意操作。如表1、圖1、圖2、圖3所示。

　　1、連接客戶端

　　通過在命令行參數(shù)中指定客戶端IP和端口號實現(xiàn)與客戶端建立連接。

　　圖1 與客戶端建立連接

　　2、獲得客戶端當前狀態(tài)

　　圖2 獲得客戶端狀態(tài)信息

　　3、配置客戶端規(guī)則

　　圖3 配置客戶端規(guī)則

　　如圖3所示，攻擊者可指定源IP地址、源端口、目的IP地址、目的端口、協(xié)議類型、TCP標志等對網絡流量進行過濾，并且可以指定匹配正則表達式文件以獲取特定內容的流量，并且能夠在流量中插入包含特定內容的文件。

　　（二）客戶端

　　從分析結果看，客戶端被植入并配置相應規(guī)則后，可以在網絡設備后臺靜默運行，攻擊者可以使用服務器端進行控制也可以直接登錄到網絡設備后臺進行命令控制。如表2、圖4、圖5和圖6所示。

　　1、指定本地端口

　　圖4 客戶端指定本地端口

　　2、根據指令規(guī)則執(zhí)行相應操作

　　圖5 客戶端執(zhí)行控制指令

　　3、插入文件

　　圖6 客戶端執(zhí)行文件插入指令

　　4、指令集

　　經分析，客戶端支持的主要指令及其功能說明如表3所示。

　　客戶端指令集非常豐富，可以實現(xiàn)對網絡流量的內容過濾、中間人劫持以及內容注入等惡意操作。

　　四、使用環(huán)境

　　“二次約會”（SecondDate）間諜軟件支持在Linux、FreeBSD、Solaris、JunOS等各類操作系統(tǒng)上運行，同時兼容i386、x86、x64、SPARC等多種體系架構，適用范圍較廣。

　　五、植入方式

　　“二次約會”（SecondDate）間諜軟件通常結合特定入侵行動辦公室（TAO）的各類針對防火墻、路由器的網絡設備漏洞攻擊工具使用，在漏洞攻擊成功并獲得相應權限后，植入至目標設備。

　　六、使用控制方式

　　“二次約會”（SecondDate）間諜軟件分為服務端和控制端，服務端部署于目標網絡邊界設備上，通過底層驅動實時監(jiān)控、過濾所有流量；控制端通過發(fā)送特殊構造的數(shù)據包觸發(fā)激活機制后，服務端從激活包中解析回連IP地址并主動回連。網絡連接使用UDP協(xié)議，通信全程加密，通信端口隨機?？刂贫丝梢詫Ψ斩说墓ぷ髂Ｊ胶徒俪帜繕诉M行遠程配置，根據實際需要選擇網內任意目標實施中間人攻擊。

　　我們與業(yè)內合作伙伴在全球范圍開展技術調查，經層層溯源，發(fā)現(xiàn)了上千臺遍布各國的網絡設備中仍在隱蔽運行“二次約會”間諜軟件及其衍生版本，并發(fā)現(xiàn)被美國國家安全局（NSA）遠程控制的跳板服務器，其中多數(shù)分布在德國、日本、韓國、印度和中國臺灣。在多國業(yè)內伙伴通力合作下，我們的工作取得重大突破，現(xiàn)已成功鎖定對西北工業(yè)大學發(fā)起網絡攻擊的美國國家安全局（NSA）工作人員的真實身份。

　　隨著我國綜合國力的不斷增強和國際戰(zhàn)略格局的深刻變化，境外“間諜”情報機構對我國開展間諜情報活動的力度不斷加大，通過網絡開展“間諜”竊密活動已成為主要手段之一。

　　在此背景下，我國政府、行業(yè)龍頭企業(yè)、大學、醫(yī)療機構、科研單位等應加快排查自身網絡“間諜”攻擊線索和安全隱患，與有能力的網絡安全公司合作獲取數(shù)字安全服務，依托大數(shù)據、平臺、探針、專家構建安全運營中心，低成本、高效能獲得數(shù)字安全能力。實現(xiàn)“看見”全網資產、全網態(tài)勢、國家級間諜攻擊活動，具備“處置”安全風險、高級威脅、間諜行動等核心安全能力，最終能夠實時分析、實時發(fā)現(xiàn)、實時阻斷、實時清理、實時恢復。