近日，國家計算機病毒應急處理中心和360公司對名為“二次約會”（SecondDate）的“間諜”軟件進行了技術(shù)分析，該“間諜”軟件針對基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平臺的路由器等網(wǎng)關設備平臺，可實現(xiàn)網(wǎng)絡流量竊聽劫持、中間人攻擊、插入惡意代碼等惡意功能，從而與其它“間諜”軟件配合完成復雜的網(wǎng)絡“間諜”活動。

　　根據(jù)“影子經(jīng)紀人”泄露的NSA內(nèi)部文件，該惡意軟件為美國國家安全局（NSA）開發(fā)的網(wǎng)絡“間諜”武器?！癝econdDate”間諜軟件是一款中間人攻擊專用工具，一般駐留在目標網(wǎng)絡的邊界設備上，嗅探網(wǎng)絡流量并根據(jù)需要對特定網(wǎng)絡會話進行劫持、篡改。

　　在國家計算機病毒應急處理中心會同360公司配合偵辦西北工業(yè)大學被美國國家安全局（NSA）網(wǎng)絡攻擊案過程中，成功提取了這款間諜軟件的多個樣本，并鎖定了這起網(wǎng)絡“間諜”行動背后美國國家安全局（NSA）工作人員的真實身份。

　　一、基本情況

　　“二次約會”（SecondDate）間諜軟件主要部署在目標網(wǎng)絡邊界設備（網(wǎng)關、防火墻、邊界路由器等），隱蔽監(jiān)控網(wǎng)絡流量，并根據(jù)需要精準選擇特定網(wǎng)絡會話進行重定向、劫持、篡改。

　　技術(shù)分析發(fā)現(xiàn)，“SecondDate”間諜軟件是一款高技術(shù)水平的網(wǎng)絡間諜工具。開發(fā)者應該具有非常深厚的網(wǎng)絡技術(shù)功底，尤其對網(wǎng)絡防火墻技術(shù)非常熟悉，其幾乎相當于在目標網(wǎng)絡設備上加裝了一套內(nèi)容過濾防火墻和代理服務器，使攻擊者可以完全接管目標網(wǎng)絡設備以及流經(jīng)該設備的網(wǎng)絡流量，從而實現(xiàn)對目標網(wǎng)絡中的其他主機和用戶實施長期竊密，并作為攻擊的“前進基地”，隨時可以向目標網(wǎng)絡投送更多網(wǎng)絡進攻武器。

　　二、具體功能

　　“二次約會”（SecondDate）間諜軟件長期駐留在網(wǎng)關、邊界路由器、防火墻等網(wǎng)絡邊界設備上，可針對海量數(shù)據(jù)流量進行精準過濾與自動化劫持，實現(xiàn)中間人攻擊功能。其主要功能包括網(wǎng)絡流量嗅探、網(wǎng)絡會話追蹤、流量重定向劫持、流量篡改等。

　　三、技術(shù)分析

　　該“間諜”軟件針對路由器、防火墻等網(wǎng)絡設備平臺，SecondDate支持分布式部署，由服務器端程序和客戶端程序構(gòu)成，攻擊者事先通過其他方式將客戶端程序植入目標網(wǎng)絡設備，然后使用服務器端程序?qū)蛻舳诉M行命令控制。其主要工作流程和技術(shù)分析結(jié)果如下：

　　（一）服務器端

　　服務器端的主要功能是與客戶端建立連接并下發(fā)控制規(guī)則，由客戶端完成相應惡意操作。如表1、圖1、圖2、圖3所示。

　　1、連接客戶端

　　通過在命令行參數(shù)中指定客戶端IP和端口號實現(xiàn)與客戶端建立連接。

　　圖1 與客戶端建立連接

　　2、獲得客戶端當前狀態(tài)

　　圖2 獲得客戶端狀態(tài)信息

　　3、配置客戶端規(guī)則

　　圖3 配置客戶端規(guī)則

　　如圖3所示，攻擊者可指定源IP地址、源端口、目的IP地址、目的端口、協(xié)議類型、TCP標志等對網(wǎng)絡流量進行過濾，并且可以指定匹配正則表達式文件以獲取特定內(nèi)容的流量，并且能夠在流量中插入包含特定內(nèi)容的文件。

　　（二）客戶端

　　從分析結(jié)果看，客戶端被植入并配置相應規(guī)則后，可以在網(wǎng)絡設備后臺靜默運行，攻擊者可以使用服務器端進行控制也可以直接登錄到網(wǎng)絡設備后臺進行命令控制。如表2、圖4、圖5和圖6所示。

　　1、指定本地端口

　　圖4 客戶端指定本地端口

　　2、根據(jù)指令規(guī)則執(zhí)行相應操作

　　圖5 客戶端執(zhí)行控制指令

　　3、插入文件

　　圖6 客戶端執(zhí)行文件插入指令

　　4、指令集

　　經(jīng)分析，客戶端支持的主要指令及其功能說明如表3所示。

　　客戶端指令集非常豐富，可以實現(xiàn)對網(wǎng)絡流量的內(nèi)容過濾、中間人劫持以及內(nèi)容注入等惡意操作。

　　四、使用環(huán)境

　　“二次約會”（SecondDate）間諜軟件支持在Linux、FreeBSD、Solaris、JunOS等各類操作系統(tǒng)上運行，同時兼容i386、x86、x64、SPARC等多種體系架構(gòu)，適用范圍較廣。

　　五、植入方式

　　“二次約會”（SecondDate）間諜軟件通常結(jié)合特定入侵行動辦公室（TAO）的各類針對防火墻、路由器的網(wǎng)絡設備漏洞攻擊工具使用，在漏洞攻擊成功并獲得相應權(quán)限后，植入至目標設備。

　　六、使用控制方式

　　“二次約會”（SecondDate）間諜軟件分為服務端和控制端，服務端部署于目標網(wǎng)絡邊界設備上，通過底層驅(qū)動實時監(jiān)控、過濾所有流量；控制端通過發(fā)送特殊構(gòu)造的數(shù)據(jù)包觸發(fā)激活機制后，服務端從激活包中解析回連IP地址并主動回連。網(wǎng)絡連接使用UDP協(xié)議，通信全程加密，通信端口隨機?？刂贫丝梢詫Ψ斩说墓ぷ髂Ｊ胶徒俪帜繕诉M行遠程配置，根據(jù)實際需要選擇網(wǎng)內(nèi)任意目標實施中間人攻擊。

　　我們與業(yè)內(nèi)合作伙伴在全球范圍開展技術(shù)調(diào)查，經(jīng)層層溯源，發(fā)現(xiàn)了上千臺遍布各國的網(wǎng)絡設備中仍在隱蔽運行“二次約會”間諜軟件及其衍生版本，并發(fā)現(xiàn)被美國國家安全局（NSA）遠程控制的跳板服務器，其中多數(shù)分布在德國、日本、韓國、印度和中國臺灣。在多國業(yè)內(nèi)伙伴通力合作下，我們的工作取得重大突破，現(xiàn)已成功鎖定對西北工業(yè)大學發(fā)起網(wǎng)絡攻擊的美國國家安全局（NSA）工作人員的真實身份。

　　隨著我國綜合國力的不斷增強和國際戰(zhàn)略格局的深刻變化，境外“間諜”情報機構(gòu)對我國開展間諜情報活動的力度不斷加大，通過網(wǎng)絡開展“間諜”竊密活動已成為主要手段之一。

　　在此背景下，我國政府、行業(yè)龍頭企業(yè)、大學、醫(yī)療機構(gòu)、科研單位等應加快排查自身網(wǎng)絡“間諜”攻擊線索和安全隱患，與有能力的網(wǎng)絡安全公司合作獲取數(shù)字安全服務，依托大數(shù)據(jù)、平臺、探針、專家構(gòu)建安全運營中心，低成本、高效能獲得數(shù)字安全能力。實現(xiàn)“看見”全網(wǎng)資產(chǎn)、全網(wǎng)態(tài)勢、國家級間諜攻擊活動，具備“處置”安全風險、高級威脅、間諜行動等核心安全能力，最終能夠?qū)崟r分析、實時發(fā)現(xiàn)、實時阻斷、實時清理、實時恢復。