克日,国家计较机病毒应急处置中心和360公司对名为“二次约会”(SecondDate)的“特务”软件进行了技能阐发,该“特务”软件针对基于FreeBSD、Linux、SunSolaris、JuniperJunOS等平台的路由器等网关设备平台,可实现网络流量窃听劫持、中间人打击、插入歹意代码等歹意功效,从而与别的“特务”软件共同完成复杂的网络“特务”勾当。按照“影子掮客人”泄露的NSA内部文件,该歹意软件为美国国家平安局(NSA)开辟的网络“特务”武器。“SecondDate”特务软件是一款中间人打击专用东西,一般驻留在目标网络的鸿沟设备上,嗅探网络流量并按照必要对特定网络会话进行劫持、窜改。
在国家计较机病毒应急处置中心会同360公司共同侦办西北产业大学被美国国家平安局(NSA)网络打击案进程中,成功提取了这款特务软件的多个样本,并锁定了这起网络“特务” 举措暗地里美国国家平安局(NSA)工作人员的真实身份。
一、根本环境
“二次约会”(SecondDate)特务软件主要摆设在目标网络鸿沟设备(网关、防火墙、鸿沟路由器等),隐蔽监控网络流量,并按照必要精准选择特定网络会话进行重定向、劫持、窜改。
技能阐发发明,“SecondDate”特务软件是一款高技能程度的网络特务东西。开辟者应该具备很是深厚的网络技能功底,尤其对网络防火墙技能很是熟悉,其几近相当于在目标网络设备上加装了一套内容过滤防火墙和代办署理办事器,使打击者可以彻底接管目标网络设备以及流经该设备的网络流量,从而实现对目标网络中的其他主机和用户实施持久窃密,并作为打击的“ 进步基地”,随时可以向目标网络投送更多网络打击武器。
2、具体功效
“二次约会”(SecondDate)特务软件持久驻留在网关、鸿沟路由器、防火墙等网络鸿沟设备上,可针对海量数据流量进行精准过滤与自动化劫持,实现中间人打击功效。其主要功效包含网络流量嗅探、网络会话追踪、流量重定向劫持、流量窜改等。
三、技能阐发
该“特务”软件针对路由器、防火墙等网络设备平台,SecondDate支持散布式摆设,由办事器端步伐和客户端步伐组成,打击者事先通过其他方法将客户端步伐植入目标网络设备,然后使用办事器端步伐对客户端进行命令节制。其主要工作流程和技能阐发结果如下:
(一)办事器端
办事器真个主要功效是与客户端创建连接并下发节制规矩,由客户端完成相应歹意操纵。如表1、图1、图二、图3所示。