近日，亞信安全對一款名為“二次約會”（SecondDate）的間諜軟件進行了詳細分析。這款軟件主要針對基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平臺的路由器和網(wǎng)關(guān)設(shè)備，一般與酸狐貍平臺結(jié)合使用，它具備網(wǎng)絡(luò)流量竊聽劫持、中間人攻擊和插入惡意代碼等惡意行為，同時能與其他間諜軟件協(xié)同作戰(zhàn)，實施復雜的網(wǎng)絡(luò)間諜活動。

關(guān)于SecondDate

SecondDate間諜軟件主要部署在目標網(wǎng)絡(luò)邊界設(shè)備（網(wǎng)關(guān)、防火墻、邊界路由器等），隱蔽監(jiān)控網(wǎng)絡(luò)流量，并根據(jù)需要精準選擇特定網(wǎng)絡(luò)會話進行重定向、劫持、篡改。其也是一款高技術(shù)水平的網(wǎng)絡(luò)間諜工具。開發(fā)者應該具有非常深厚的網(wǎng)絡(luò)技術(shù)功底，尤其對網(wǎng)絡(luò)防火墻技術(shù)非常熟悉，其幾乎相當于在目標網(wǎng)絡(luò)設(shè)備上加裝了一套內(nèi)容過濾防火墻和代理服務器，使攻擊者可以完全接管目標網(wǎng)絡(luò)設(shè)備以及流經(jīng)該設(shè)備的網(wǎng)絡(luò)流量，從而實現(xiàn)對目標網(wǎng)絡(luò)中的其他主機和用戶實施長期竊密，并作為攻擊的“前進基地”，隨時可以向目標網(wǎng)絡(luò)投送更多網(wǎng)絡(luò)進攻武器。

潛在目標

從攻擊目標看，該間諜軟件除了持續(xù)對國家機關(guān)、涉密單位等“傳統(tǒng)目標”開展網(wǎng)絡(luò)攻擊外，還不斷加強對關(guān)鍵信息基礎(chǔ)設(shè)施、重大基礎(chǔ)設(shè)施網(wǎng)絡(luò)系統(tǒng)的攻擊滲透，并將黑手進一步伸向高等院校、科研機構(gòu)、大型企業(yè)、高科技公司等機構(gòu)和企業(yè)高管、專家學者等群體，可謂惡意滿滿。

攻擊方式

SecondDate間諜軟件通常結(jié)合特定入侵行動辦公室（TAO）的各類針對防火墻、路由器的網(wǎng)絡(luò)設(shè)備漏洞攻擊工具使用，或涉及電子郵件、辦公自動化、用戶管理、安全防護等各類軟件系統(tǒng)，服務器、計算機、交換機、路由器等各種硬件設(shè)備，以及手機、WIFI、攝像頭等民用家用設(shè)備，可謂“無孔不入”，在漏洞攻擊成功并獲得相應權(quán)限后，植入至目標設(shè)備。

病毒詳情分析

SecondDate間諜軟件分為服務端和控制端，服務端部署于目標網(wǎng)絡(luò)邊界設(shè)備上，通過底層驅(qū)動實時監(jiān)控、過濾所有流量；控制端通過發(fā)送特殊構(gòu)造的數(shù)據(jù)包觸發(fā)激活機制后，服務端從激活包中解析回連IP地址并主動回連。網(wǎng)絡(luò)連接使用UDP協(xié)議，通信全程加密，通信端口隨機?？刂贫丝梢詫Ψ斩说墓ぷ髂Ｊ胶徒俪帜繕诉M行遠程配置，根據(jù)實際需要選擇網(wǎng)內(nèi)任意目標實施中間人攻擊。

亞信安全產(chǎn)品檢測能力

●亞信安全TrustOne和DS的云病毒碼版本18.693.71均已經(jīng)可以檢測SecondDate間諜軟件。

●亞信安全夢蝶引擎云病毒碼版本1.6.0.175已經(jīng)可以檢測SecondDate間諜軟件。