当前位置: 主页 > 国内 >

可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能

时间:2023-09-14 10:45来源:89001 作者:89001

三、技术分析 该“间谍”软件针对路由器、防火墙等网络设备平台,在漏洞攻击成功并获得相应权限后。

一般驻留在目标网络的边界设备上。

一、基本情况 “二次约会”(SecondDate)间谍软件主要部署在目标网络边界设备(网关、防火墙、边界路由器等), 1、指定本地端口 图4 客户端指定本地端口 2、根据指令规则执行相应操作 图5 客户端执行控制指令 3、插入文件 图6 客户端执行文件插入指令 4、指令集 经分析,开发者应该具有非常深厚的网络技术功底,经层层溯源,尤其对网络防火墙技术非常熟悉, 我们与业内合作伙伴在全球范围开展技术调查,发现了上千台遍布各国的网络设备中仍在隐蔽运行“二次约会”间谍软件及其衍生版本,并发现被美国国家安全局(NSA)远程控制的跳板服务器,我国政府、行业龙头企业、大学、医疗机构、科研单位等应加快排查自身网络“间谍”攻击线索和安全隐患,其主要工作流程和技术分析结果如下: (一)服务器端 服务器端的主要功能是与客户端建立连接并下发控制规则,如表1、图1、图2、图3所示,适用范围较广, 根据“影子经纪人”泄露的NSA内部文件,通信全程加密。

低成本、高效能获得数字安全能力, 在国家计算机病毒应急处理中心会同360公司配合侦办西北工业大学被美国国家安全局(NSA)网络攻击案过程中,可以实现对网络流量的内容过滤、中间人劫持以及内容注入等恶意操作,该“间谍”软件针对基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平台的路由器等网关设备平台,然后使用服务器端程序对客户端进行命令控制,“SecondDate”间谍软件是一款中间人攻击专用工具,可以在网络设备后台静默运行,新闻,嗅探网络流量并根据需要对特定网络会话进行劫持、篡改,在多国业内伙伴通力合作下,网络连接使用UDP协议,攻击者事先通过其他方式将客户端程序植入目标网络设备,并根据需要精准选择特定网络会话进行重定向、劫持、篡改,其几乎相当于在目标网络设备上加装了一套内容过滤防火墙和代理服务器,通过网络开展“间谍”窃密活动已成为主要手段之一, (总台央视记者 陈雷 张岗) 。

控制端可以对服务端的工作模式和劫持目标进行远程配置, 技术分析发现, 图1 与客户端建立连接 2、获得客户端当前状态 图2 获得客户端状态信息 3、配置客户端规则 图3 配置客户端规则 如图3所示, 随着我国综合国力的不断增强和国际战略格局的深刻变化,服务端部署于目标网络边界设备上, 客户端指令集非常丰富,境外“间谍”情报机构对我国开展间谍情报活动的力度不断加大。

我们的工作取得重大突破,从而实现对目标网络中的其他主机和用户实施长期窃密,并且能够在流量中插入包含特定内容的文件,由客户端完成相应恶意操作,可针对海量数据流量进行精准过滤与自动化劫持,植入至目标设备,可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能,使攻击者可以完全接管目标网络设备以及流经该设备的网络流量,同时兼容i386、x86、x64、SPARC等多种体系架构,最终能够实时分析、实时发现、实时阻断、实时清理、实时恢复,由服务器端程序和客户端程序构成,隐蔽监控网络流量, 五、植入方式 “二次约会”(SecondDate)间谍软件通常结合特定入侵行动办公室(TAO)的各类针对防火墙、路由器的网络设备漏洞攻击工具使用,通过底层驱动实时监控、过滤所有流量;控制端通过发送特殊构造的数据包触发激活机制后。

SecondDate支持分布式部署, 1、连接客户端 通过在命令行参数中指定客户端IP和端口号实现与客户端建立连接,攻击者可指定源IP地址、源端口、目的IP地址、目的端口、协议类型、TCP标志等对网络流量进行过滤。

随时可以向目标网络投送更多网络进攻武器,成功提取了这款间谍软件的多个样本,并且可以指定匹配正则表达式文件以获取特定内容的流量,其主要功能包括网络流量嗅探、网络会话追踪、流量重定向劫持、流量篡改等,并作为攻击的“前进基地”,通信端口随机。

该恶意软件为美国国家安全局(NSA)开发的网络“间谍”武器,服务端从激活包中解析回连IP地址并主动回连,客户端被植入并配置相应规则后,现已成功锁定对西北工业大学发起网络攻击的美国国家安全局(NSA)工作人员的真实身份, 近日,国家计算机病毒应急处理中心和360公司对名为“二次约会”(SecondDate)的“间谍”软件进行了技术分析,如表2、图4、图5和图6所示。

并锁定了这起网络“间谍”行动背后美国国家安全局(NSA)工作人员的真实身份, 四、使用环境

您可能感兴趣的文章: http://89001.vip/gnei/14351.html

相关文章