在上一篇文章中,我和大家一起研究了NSA被曝光的“棉口蛇I型”(COTTONMOUTH-I,簡稱CM-I)硬體木馬,它的僞裝外觀是标準大小(Type A)的USB公口。常見的僞裝形态有USB鍵盤、USB資料線等。本篇文章,我和大家一起繼續研究棉口蛇II型(COTTONMOUTH-II,簡稱CM-II)硬體木馬,對其資料進行深度解讀。
棉口蛇I型僞裝外觀
棉口蛇II型簡介
棉口蛇II型硬體木馬同樣是NSA下屬的先進網絡技術部(ANT)研發的,絕密級(TOP SECRET)、屬于通信情報(COMINT,communication intelligence的縮寫),面向五眼聯盟國家(FVEY,five eyes的縮寫)。棉口蛇I型和II型屬于同時期、不同僞裝外觀的同類技術,不存在時間先後關系。
棉口蛇II型資料頁
棉口蛇II型硬體木馬的僞裝外觀是雙USB母口,能夠利用USB連接配接創造一條到目标計算機的隐秘鍊路。根據資料,棉口蛇II型硬體木馬能夠與一個長距離、接力(多跳)子系統協同運作,該子系統與目标計算機處在同一實體位置,一般隐藏在機櫃中的某處。
棉口蛇II型僞裝外觀示意圖
棉口蛇II型的功能介紹
根據資料顯示,棉口蛇II型硬體木馬在功能上同棉口蛇I型的十分相近,都包含有軟體駐留能力(software persistence capability)、“場内”重程式設計(“in-field” re-programmability)和通過USB接口與植入目标計算機的惡意軟體進行隐蔽通信的功能。但缺少棉口蛇I型的空口橋接能力(air-gap bridging),是以可以推測棉口蛇II型不包含HOWLERMONKEY(吼猴)無線電收發子產品,而棉口蛇I型和此前介紹的FIREWALK硬體木馬都包含有該無線電子產品。
吼猴子產品的資料
通過在USB接口上實作的隐秘通道,棉口蛇II型能夠同資料網絡技術部(DNT,與ANT同樣隸屬于NSA)的STRAITBIZARRE(“奇異海峽”)惡意軟體進行通信,在硬體和軟體之間傳遞資料和指令。資料中介紹棉口蛇II型将會是一個基于CHIMNEYPOOL的、GENIE适用的植入物(CHIMNEYPOOL是和奇異海峽軟體通信用的通信架構,而GENIE是NSA專門研究端點裝置的項目)。
棉口蛇II型隐秘通信場景
棉口蛇II型的價格介紹
根據資料,棉口蛇II型的價格是50個要20萬美金,那麼單個棉口蛇II型硬體的價格是4000美金,這比單個棉口蛇I型硬體20300美金的價格要便宜不少。考慮到棉口蛇II型較棉口蛇I型僅缺少售價1000美元的吼猴子產品,似乎是棉口蛇II型的成本效益要更高。但在實際使用時,擁有USB公口僞裝外觀的I型要有更大的靈活性,做到了“即插即用”;而有着雙USB母口僞裝外觀的II型則必須焊接在主機闆上,這極大地提高了棉口蛇II型的應用門檻。
美國國家安全局
小結
棉口蛇II型這篇文章準備了很久,因為對比I型和II型的僞裝外觀,我個人在一開始覺得棉口蛇II型并不是一個好的方案。但在閱讀棉口蛇II型資料頁的過程中,讓我對棉口蛇I型和FIREWALK都有了更加深刻的了解,棉口蛇II型一旦成功植入目标計算機,必會帶來惡毒的蝕骨之痛,可以與FIREWALK狼狽為奸。同時為了給棉口蛇III型做鋪墊,保持相關内容的完整性,最終還是形成了本文。未來有機會的話,還要對長距離接力系統(long haul relay)進行深入的研究,敬請關注。#頭條創作挑戰賽#