在上一篇文章中，我和大家一起研究了NSA被曝光的“棉口蛇I型”（COTTONMOUTH-I，简称CM-I）硬件木马，它的伪装外观是标准大小（Type A）的USB公口。常见的伪装形态有USB键盘、USB数据线等。本篇文章，我和大家一起继续研究棉口蛇II型（COTTONMOUTH-II，简称CM-II）硬件木马，对其资料进行深度解读。

棉口蛇I型伪装外观

棉口蛇II型简介

棉口蛇II型硬件木马同样是NSA下属的先进网络技术部（ANT）研发的，绝密级（TOP SECRET）、属于通信情报（COMINT，communication intelligence的缩写），面向五眼联盟国家（FVEY，five eyes的缩写）。棉口蛇I型和II型属于同时期、不同伪装外观的同类技术，不存在时间先后关系。

棉口蛇II型资料页

棉口蛇II型硬件木马的伪装外观是双USB母口，能够利用USB连接创造一条到目标计算机的隐秘链路。根据资料，棉口蛇II型硬件木马能够与一个长距离、接力（多跳）子系统协同运行，该子系统与目标计算机处在同一物理位置，一般隐藏在机柜中的某处。

棉口蛇II型伪装外观示意图

棉口蛇II型的功能介绍

根据资料显示，棉口蛇II型硬件木马在功能上同棉口蛇I型的十分相近，都包含有软件驻留能力（software persistence capability）、“场内”重编程（“in-field” re-programmability）和通过USB接口与植入目标计算机的恶意软件进行隐蔽通信的功能。但缺少棉口蛇I型的空口桥接能力（air-gap bridging），因此可以推测棉口蛇II型不包含HOWLERMONKEY（吼猴）无线电收发模块，而棉口蛇I型和此前介绍的FIREWALK硬件木马都包含有该无线电模块。

吼猴模块的资料

通过在USB接口上实现的隐秘通道，棉口蛇II型能够同数据网络技术部（DNT，与ANT同样隶属于NSA）的STRAITBIZARRE（“奇异海峡”）恶意软件进行通信，在硬件和软件之间传递数据和命令。资料中介绍棉口蛇II型将会是一个基于CHIMNEYPOOL的、GENIE适用的植入物（CHIMNEYPOOL是和奇异海峡软件通信用的通信框架，而GENIE是NSA专门研究端点设备的项目）。

棉口蛇II型隐秘通信场景

棉口蛇II型的价格介绍

根据资料，棉口蛇II型的价格是50个要20万美金，那么单个棉口蛇II型硬件的价格是4000美金，这比单个棉口蛇I型硬件20300美金的价格要便宜不少。考虑到棉口蛇II型较棉口蛇I型仅缺少售价1000美元的吼猴模块，似乎是棉口蛇II型的性价比要更高。但在实际使用时，拥有USB公口伪装外观的I型要有更大的灵活性，做到了“即插即用”；而有着双USB母口伪装外观的II型则必须焊接在主板上，这极大地提高了棉口蛇II型的应用门槛。

美国国家安全局

小结

棉口蛇II型这篇文章准备了很久，因为对比I型和II型的伪装外观，我个人在一开始觉得棉口蛇II型并不是一个好的方案。但在阅读棉口蛇II型资料页的过程中，让我对棉口蛇I型和FIREWALK都有了更加深刻的理解，棉口蛇II型一旦成功植入目标计算机，必会带来恶毒的蚀骨之痛，可以与FIREWALK狼狈为奸。同时为了给棉口蛇III型做铺垫，保持相关内容的完整性，最终还是形成了本文。未来有机会的话，还要对长距离接力系统（long haul relay）进行深入的研究，敬请关注。#头条创作挑战赛#​