股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
谍影重重!亚信安(ān)全起底“二次约会”间谍软件之原罪
发布时间 :2023年10月27日
类型 :勒索软件
分(fēn)享:
近日,亚信安(ān)全对一款名(míng)為(wèi)“二次约会”(SecondDate)的间谍软件进行了详细分(fēn)析。这款软件主要针对基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平台的路由器和网关设备,一般与酸狐狸平台结合使用(yòng),它具(jù)备网络流量窃听劫持、中(zhōng)间人攻击和插入恶意代码等恶意行為(wèi),同时能(néng)与其他(tā)间谍软件协同作(zuò)战,实施复杂的网络间谍活动。
关于SecondDate
SecondDate间谍软件主要部署在目标网络边界设备(网关、防火墙、边界路由器等),隐蔽监控网络流量,并根据需要精(jīng)准选择特定网络会话进行重定向、劫持、篡改。其也是一款高技(jì )术水平的网络间谍工(gōng)具(jù)。开发者应该具(jù)有(yǒu)非常深厚的网络技(jì )术功底,尤其对网络防火墙技(jì )术非常熟悉,其几乎相当于在目标网络设备上加装(zhuāng)了一套内容过滤防火墙和代理(lǐ)服務(wù)器,使攻击者可(kě)以完全接管目标网络设备以及流经该设备的网络流量,从而实现对目标网络中(zhōng)的其他(tā)主机和用(yòng)户实施長(cháng)期窃密,并作(zuò)為(wèi)攻击的“前进基地”,随时可(kě)以向目标网络投送更多(duō)网络进攻武器。
潜在目标
从攻击目标看,该间谍软件除了持续对國(guó)家机关、涉密单位等“传统目标”开展网络攻击外,还不断加强对关键信息基础设施、重大基础设施网络系统的攻击渗透,并将黑手进一步伸向高等院校、科(kē)研机构、大型企业、高科(kē)技(jì )公(gōng)司等机构和企业高管、专家學(xué)者等群體(tǐ),可(kě)谓恶意满满。
攻击方式
SecondDate间谍软件通常结合特定入侵行动办(bàn)公(gōng)室(TAO)的各类针对防火墙、路由器的网络设备漏洞攻击工(gōng)具(jù)使用(yòng),或涉及電(diàn)子邮件、办(bàn)公(gōng)自动化、用(yòng)户管理(lǐ)、安(ān)全防护等各类软件系统,服務(wù)器、计算机、交换机、路由器等各种硬件设备,以及手机、WIFI、摄像头等民(mín)用(yòng)家用(yòng)设备,可(kě)谓“无孔不入”,在漏洞攻击成功并获得相应权限后,植入至目标设备。
病毒详情分(fēn)析
SecondDate间谍软件分(fēn)為(wèi)服務(wù)端和控制端,服務(wù)端部署于目标网络边界设备上,通过底层驱动实时监控、过滤所有(yǒu)流量;控制端通过发送特殊构造的数据包触发激活机制后,服務(wù)端从激活包中(zhōng)解析回连IP地址并主动回连。网络连接使用(yòng)UDP协议,通信全程加密,通信端口随机。控制端可(kě)以对服務(wù)端的工(gōng)作(zuò)模式和劫持目标进行遠(yuǎn)程配置,根据实际需要选择网内任意目标实施中(zhōng)间人攻击。
亚信安(ān)全产(chǎn)品检测能(néng)力
●亚信安(ān)全TrustOne和DS的云病毒码版本18.693.71均已经可(kě)以检测SecondDate间谍软件。
●亚信安(ān)全梦蝶引擎云病毒码版本1.6.0.175已经可(kě)以检测SecondDate间谍软件。
分(fēn)享到微信
X