“二次约会”间谍软件分析报告：网络攻击西北工业大学美国相关人员真实身份被锁定 _间谍软件

近日，国家计算机病毒应急处理中心和360公司对名为“二次约会”（SecondDate）的“间谍”软件进行了技术分析，该“间谍”软件针对基于FreeBSD、linux、Sun Solaris、Juniper JunOS等平台的路由器等网关设备平台，可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能，从而与其它“间谍”软件配合完成复杂的网络“间谍”活动。
根据“影子经纪人”泄露的NSA内部文件，该恶意软件为美国国家安全局（NSA）开发的网络“间谍”武器。“SecondDate”间谍软件是一款中间人攻击专用工具，一般驻留在目标网络的边界设备上，嗅探网络流量并根据需要对特定网络会话进行劫持、篡改。
在国家计算机病毒应急处理中心会同360公司配合侦办西北工业大学被美国国家安全局（NSA）网络攻击案过程中，成功提取了这款间谍软件的多个样本，并锁定了这起网络“间谍”行动背后美国国家安全局（NSA）工作人员的真实身份。
一、基本情况
“二次约会”（SecondDate）间谍软件主要部署在目标网络边界设备（网关、防火墙、边界路由器等），隐蔽监控网络流量，并根据需要精准选择特定网络会话进行重定向、劫持、篡改。
技术分析发现，“SecondDate”间谍软件是一款高技术水平的网络间谍工具。开发者应该具有非常深厚的网络技术功底，尤其对网络防火墙技术非常熟悉，其几乎相当于在目标网络设备上加装了一套内容过滤防火墙和代理服务器，使攻击者可以完全接管目标网络设备以及流经该设备的网络流量，从而实现对目标网络中的其他主机和用户实施长期窃密，并作为攻击的“前进基地”，随时可以向目标网络投送更多网络进攻武器。
二、具体功能
“二次约会”（SecondDate）间谍软件长期驻留在网关、边界路由器、防火墙等网络边界设备上，可针对海量数据流量进行精准过滤与自动化劫持，实现中间人攻击功能。其主要功能包括网络流量嗅探、网络会话追踪、流量重定向劫持、流量篡改等。
三、技术分析
该“间谍”软件针对路由器、防火墙等网络设备平台，SecondDate支持分布式部署，由服务器端程序和客户端程序构成，攻击者事先通过其他方式将客户端程序植入目标网络设备，然后使用服务器端程序对客户端进行命令控制。其主要工作流程和技术分析结果如下：
（一）服务器端
服务器端的主要功能是与客户端建立连接并下发控制规则，由客户端完成相应恶意操作。如表1、图1、图2、图3所示。

文章插图
1、连接客户端
通过在命令行参数中指定客户端IP和端口号实现与客户端建立连接。

文章插图
图1 与客户端建立连接
2、获得客户端当前状态

文章插图
图2 获得客户端状态信息
3、配置客户端规则

文章插图
图3 配置客户端规则
【“二次约会”间谍软件分析报告：网络攻击西北工业大学美国相关人员真实身份被锁定】如图3所示，攻击者可指定源IP地址、源端口、目的IP地址、目的端口、协议类型、TCP标志等对网络流量进行过滤，并且可以指定匹配正则表达式文件以获取特定内容的流量，并且能够在流量中插入包含特定内容的文件。
（二）客户端
从分析结果看，客户端被植入并配置相应规则后，可以在网络设备后台静默运行，攻击者可以使用服务器端进行控制也可以直接登录到网络设备后台进行命令控制。如表2、图4、图5和图6所示。