<style id="utfaj"></style>

      <p id="utfaj"></p>
      <noscript id="utfaj"><meter id="utfaj"></meter></noscript><rp id="utfaj"><tbody id="utfaj"></tbody></rp>
    1. 中國西藏網(wǎng) > 即時新聞 > 文化

      “二次約會”間諜軟件分析報告:網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué) 美國相關(guān)人員真實(shí)身份被鎖定

      發(fā)布時間:2023-09-14 14:27:00來源: 央視新聞客戶端

        近日,國家計算機(jī)病毒應(yīng)急處理中心和360公司對名為“二次約會”(SecondDate)的“間諜”軟件進(jìn)行了技術(shù)分析,該“間諜”軟件針對基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平臺的路由器等網(wǎng)關(guān)設(shè)備平臺,可實(shí)現(xiàn)網(wǎng)絡(luò)流量竊聽劫持、中間人攻擊、插入惡意代碼等惡意功能,從而與其它“間諜”軟件配合完成復(fù)雜的網(wǎng)絡(luò)“間諜”活動。

        根據(jù)“影子經(jīng)紀(jì)人”泄露的NSA內(nèi)部文件,該惡意軟件為美國國家安全局(NSA)開發(fā)的網(wǎng)絡(luò)“間諜”武器。“SecondDate”間諜軟件是一款中間人攻擊專用工具,一般駐留在目標(biāo)網(wǎng)絡(luò)的邊界設(shè)備上,嗅探網(wǎng)絡(luò)流量并根據(jù)需要對特定網(wǎng)絡(luò)會話進(jìn)行劫持、篡改。

        在國家計算機(jī)病毒應(yīng)急處理中心會同360公司配合偵辦西北工業(yè)大學(xué)被美國國家安全局(NSA)網(wǎng)絡(luò)攻擊案過程中,成功提取了這款間諜軟件的多個樣本,并鎖定了這起網(wǎng)絡(luò)“間諜”行動背后美國國家安全局(NSA)工作人員的真實(shí)身份。

        一、基本情況

        “二次約會”(SecondDate)間諜軟件主要部署在目標(biāo)網(wǎng)絡(luò)邊界設(shè)備(網(wǎng)關(guān)、防火墻、邊界路由器等),隱蔽監(jiān)控網(wǎng)絡(luò)流量,并根據(jù)需要精準(zhǔn)選擇特定網(wǎng)絡(luò)會話進(jìn)行重定向、劫持、篡改。

        技術(shù)分析發(fā)現(xiàn),“SecondDate”間諜軟件是一款高技術(shù)水平的網(wǎng)絡(luò)間諜工具。開發(fā)者應(yīng)該具有非常深厚的網(wǎng)絡(luò)技術(shù)功底,尤其對網(wǎng)絡(luò)防火墻技術(shù)非常熟悉,其幾乎相當(dāng)于在目標(biāo)網(wǎng)絡(luò)設(shè)備上加裝了一套內(nèi)容過濾防火墻和代理服務(wù)器,使攻擊者可以完全接管目標(biāo)網(wǎng)絡(luò)設(shè)備以及流經(jīng)該設(shè)備的網(wǎng)絡(luò)流量,從而實(shí)現(xiàn)對目標(biāo)網(wǎng)絡(luò)中的其他主機(jī)和用戶實(shí)施長期竊密,并作為攻擊的“前進(jìn)基地”,隨時可以向目標(biāo)網(wǎng)絡(luò)投送更多網(wǎng)絡(luò)進(jìn)攻武器。

        二、具體功能

        “二次約會”(SecondDate)間諜軟件長期駐留在網(wǎng)關(guān)、邊界路由器、防火墻等網(wǎng)絡(luò)邊界設(shè)備上,可針對海量數(shù)據(jù)流量進(jìn)行精準(zhǔn)過濾與自動化劫持,實(shí)現(xiàn)中間人攻擊功能。其主要功能包括網(wǎng)絡(luò)流量嗅探、網(wǎng)絡(luò)會話追蹤、流量重定向劫持、流量篡改等。

        三、技術(shù)分析

        該“間諜”軟件針對路由器、防火墻等網(wǎng)絡(luò)設(shè)備平臺,SecondDate支持分布式部署,由服務(wù)器端程序和客戶端程序構(gòu)成,攻擊者事先通過其他方式將客戶端程序植入目標(biāo)網(wǎng)絡(luò)設(shè)備,然后使用服務(wù)器端程序?qū)蛻舳诉M(jìn)行命令控制。其主要工作流程和技術(shù)分析結(jié)果如下:

        (一)服務(wù)器端

        服務(wù)器端的主要功能是與客戶端建立連接并下發(fā)控制規(guī)則,由客戶端完成相應(yīng)惡意操作。如表1、圖1、圖2、圖3所示。

        1、連接客戶端

        通過在命令行參數(shù)中指定客戶端IP和端口號實(shí)現(xiàn)與客戶端建立連接。

        圖1 與客戶端建立連接

        2、獲得客戶端當(dāng)前狀態(tài)

        圖2 獲得客戶端狀態(tài)信息

        3、配置客戶端規(guī)則

        圖3 配置客戶端規(guī)則

        如圖3所示,攻擊者可指定源IP地址、源端口、目的IP地址、目的端口、協(xié)議類型、TCP標(biāo)志等對網(wǎng)絡(luò)流量進(jìn)行過濾,并且可以指定匹配正則表達(dá)式文件以獲取特定內(nèi)容的流量,并且能夠在流量中插入包含特定內(nèi)容的文件。

        (二)客戶端

        從分析結(jié)果看,客戶端被植入并配置相應(yīng)規(guī)則后,可以在網(wǎng)絡(luò)設(shè)備后臺靜默運(yùn)行,攻擊者可以使用服務(wù)器端進(jìn)行控制也可以直接登錄到網(wǎng)絡(luò)設(shè)備后臺進(jìn)行命令控制。如表2、圖4、圖5和圖6所示。

        1、指定本地端口

        圖4 客戶端指定本地端口

        2、根據(jù)指令規(guī)則執(zhí)行相應(yīng)操作

        圖5 客戶端執(zhí)行控制指令

        3、插入文件

        圖6 客戶端執(zhí)行文件插入指令

        4、指令集

        經(jīng)分析,客戶端支持的主要指令及其功能說明如表3所示。

        客戶端指令集非常豐富,可以實(shí)現(xiàn)對網(wǎng)絡(luò)流量的內(nèi)容過濾、中間人劫持以及內(nèi)容注入等惡意操作。

        四、使用環(huán)境

        “二次約會”(SecondDate)間諜軟件支持在Linux、FreeBSD、Solaris、JunOS等各類操作系統(tǒng)上運(yùn)行,同時兼容i386、x86、x64、SPARC等多種體系架構(gòu),適用范圍較廣。

        五、植入方式

        “二次約會”(SecondDate)間諜軟件通常結(jié)合特定入侵行動辦公室(TAO)的各類針對防火墻、路由器的網(wǎng)絡(luò)設(shè)備漏洞攻擊工具使用,在漏洞攻擊成功并獲得相應(yīng)權(quán)限后,植入至目標(biāo)設(shè)備。

        六、使用控制方式

        “二次約會”(SecondDate)間諜軟件分為服務(wù)端和控制端,服務(wù)端部署于目標(biāo)網(wǎng)絡(luò)邊界設(shè)備上,通過底層驅(qū)動實(shí)時監(jiān)控、過濾所有流量;控制端通過發(fā)送特殊構(gòu)造的數(shù)據(jù)包觸發(fā)激活機(jī)制后,服務(wù)端從激活包中解析回連IP地址并主動回連。網(wǎng)絡(luò)連接使用UDP協(xié)議,通信全程加密,通信端口隨機(jī)。控制端可以對服務(wù)端的工作模式和劫持目標(biāo)進(jìn)行遠(yuǎn)程配置,根據(jù)實(shí)際需要選擇網(wǎng)內(nèi)任意目標(biāo)實(shí)施中間人攻擊。

        我們與業(yè)內(nèi)合作伙伴在全球范圍開展技術(shù)調(diào)查,經(jīng)層層溯源,發(fā)現(xiàn)了上千臺遍布各國的網(wǎng)絡(luò)設(shè)備中仍在隱蔽運(yùn)行“二次約會”間諜軟件及其衍生版本,并發(fā)現(xiàn)被美國國家安全局(NSA)遠(yuǎn)程控制的跳板服務(wù)器,其中多數(shù)分布在德國、日本、韓國、印度和中國臺灣。在多國業(yè)內(nèi)伙伴通力合作下,我們的工作取得重大突破,現(xiàn)已成功鎖定對西北工業(yè)大學(xué)發(fā)起網(wǎng)絡(luò)攻擊的美國國家安全局(NSA)工作人員的真實(shí)身份。

        隨著我國綜合國力的不斷增強(qiáng)和國際戰(zhàn)略格局的深刻變化,境外“間諜”情報機(jī)構(gòu)對我國開展間諜情報活動的力度不斷加大,通過網(wǎng)絡(luò)開展“間諜”竊密活動已成為主要手段之一。

        在此背景下,我國政府、行業(yè)龍頭企業(yè)、大學(xué)、醫(yī)療機(jī)構(gòu)、科研單位等應(yīng)加快排查自身網(wǎng)絡(luò)“間諜”攻擊線索和安全隱患,與有能力的網(wǎng)絡(luò)安全公司合作獲取數(shù)字安全服務(wù),依托大數(shù)據(jù)、平臺、探針、專家構(gòu)建安全運(yùn)營中心,低成本、高效能獲得數(shù)字安全能力。實(shí)現(xiàn)“看見”全網(wǎng)資產(chǎn)、全網(wǎng)態(tài)勢、國家級間諜攻擊活動,具備“處置”安全風(fēng)險、高級威脅、間諜行動等核心安全能力,最終能夠?qū)崟r分析、實(shí)時發(fā)現(xiàn)、實(shí)時阻斷、實(shí)時清理、實(shí)時恢復(fù)。

      (責(zé)編:常邦麗)

      版權(quán)聲明:凡注明“來源:中國西藏網(wǎng)”或“中國西藏網(wǎng)文”的所有作品,版權(quán)歸高原(北京)文化傳播有限公司。任何媒體轉(zhuǎn)載、摘編、引用,須注明來源中國西藏網(wǎng)和署著作者名,否則將追究相關(guān)法律責(zé)任。

      国产精品福利在线无码卡一,亚洲欧洲无码中文字幕,高清人人天天夜夜狠狠狠狠狠,中文字幕久久精品一二三区 不卡精品视频福利 精品国产国产自在线观看 99精品只有久久精品免费
        <style id="utfaj"></style>

        <p id="utfaj"></p>
        <noscript id="utfaj"><meter id="utfaj"></meter></noscript><rp id="utfaj"><tbody id="utfaj"></tbody></rp>