乾貨梳理 | Vault7文檔曝光的那些CIA網路武器

在維基解密曝光的CIA-Vault7文檔中，包含了一堆晦澀難懂的名詞、行話，以及一些不完整的描述和註冊鏈接，這些信息非常有趣，但很多術語卻讓人很難理解。所以，在遍歷了所有Vault7文檔之後，我根據真實意思和一些可以查詢到的結果，儘可能多地對其中涉及的黑客工具作了解釋，以供參考研究，歡迎大家指正交流。

以下內容中，有些是根據提及的測試設備、開發者注釋等信息得出的比較貼合實際意思的解釋；而一些商業性工具（如洛克希德馬丁的DART軟體）、文檔中涉及的註冊鏈接和運行代號，在此就不作羅列。讓我們隨著Freebuf一起來走近CIA的網路軍火庫：

EDB部門涉及的黑客工具

Embedded Development Branch（EDB，嵌入式研發部門），該部門負責對電話、工作站電腦、智能電視等目標設備進行入侵破解或植入內置工具，手段可以算是軟硬兼施，他們開發的工具包括：

Pterodactyl

：一個「支持介質拷貝複製的通用硬體解決方案」工具，它可以通過諸如樹莓派（

Raspberry Pi

）之類的嵌入式單板機，對目標電腦進行數據拷貝；（

vault7

中出現次數：

107）

SparrowHawk

：適用於跨平台架構和基於

Unix

系統的鍵盤記錄器，收集目標用戶鍵盤記錄，並進行格式整理統一；

vault7

中出現次數：

91）

DerStarke

：針對蘋果

OSX

系統的啟動驅動級（

Boot-level

）的

rookit

植入木馬；（

vault7

中出現次數：

79）

GyrFalcon

：用於針對

OpenSSH

客戶端的數據獲取工具，可以跟蹤

ssh

連接、獲取用戶名密碼以及連接數據內容等信息；（

vault7

中出現次數：

36）

SnowyOwl

：針對目標系統，基於

OpenSSH

會話進行代碼注入；（

vault7

中出現次數：

13）

HarpyEagle

：是專門針對蘋果路由器

AirportExtreme

和

Wi-Fi

存儲設備

Time Capsule

而設計的，目的是遠程或本地獲取

root

許可權並進行

rootkit

植入；（

vault7

中出現次數：

60）

BaldEagle

：針對

Unix

系統硬體抽象層的

HALdaemon

漏洞利用工具；（

vault7

中出現次數：

27）

MaddeningWhispers

：針對

Vanguard

設備進行遠程入侵的漏洞利用工具；（

vault7

中出現次數：

34）

CRUCIBLE

：自動化的可利用漏洞識別（

automatedexploit identification

）工具；（

vault7

中出現的次數：

8）

YarnBall

：在部署有效載荷或數據竊取時使用的隱蔽

USB

存儲工具；（

vault7

中出現次數：

43）

GreenPacket

：針對

GreenPacket

路由設備進行木馬植入的工具套裝；（

vault7

中出現次數：

11）

QuarkMatter

：另一款針對

OSX

系統的啟動驅動級植入木馬；（

vault7

中出現次數：

40）

Weeping Angel

：由

CIA

和英國

MI5

共同開發的針對三星智能電視的木馬植入工具組件。該竊聽軟體感染智能電視後，會劫持電視的關機操作，保持程序的後台運行，讓用戶誤以為已經關機了，之後它會啟動麥克風，開啟錄音功能，然後將錄音內容回傳到

CIA

的後台伺服器；（

vault7

中出現次數：

65）

Hive

：針對

Windows

和

UNIX

系統，為其它攻擊部署和工具提供入侵協助的組件平台；（

vault7

中出現次數：

197）

Honeycomb

：用於配合

Hive

，運行於

linux

系統的，針對

Swindle

或

Blot

代理伺服器的數據收集處理腳本工具；（

vault7

中出現次數：

78）

CutThroat

：構建於代理伺服器之上，用於向目標系統發送數據的虛擬機介面；（

vault7

中出現次數：

232）

Bee Sting

：用於

HTTP

連接中的

iFrame

注入工具；（

vault7

中出現次數：

21）

Sontaran

：用於針對西門子

OpenStage

數字電話進行入侵的工具；（

vault7

中出現次數：

83）

Secret Squirrel

(SQRL)

：由遠程研發部門

RDB

和嵌入式研發部門共同開發的工具，目前還不知曉具體用途

。

RDB

部門涉及的黑客工具

Remote Development Branch

（

RDB

，遠程研發部門），

Vault7

文檔中涉及該部門的數據相對較少。

Umbrage

：一項團隊模式的網路攻擊平台，

CIA

技術人員通過該平台收集大量公開的黑客工具、攻擊技術、一些泄露數據中包含的可用代碼和相關思路方法，以此形成一個網路攻擊特徵庫，可應用於網路攻擊活動的調查取證。

另據其它媒體報道，

CIA

可以通過該特徵庫採取模仿、混淆等多種戰術，發起針對目標系統的「虛假標記」網路攻擊，故意留下蛛絲馬跡，讓人作出錯誤判斷，達到迷惑敵人、嫁禍於人，隱藏自己的目的。（

vault7

中出現次數：

46）

ShoulderSurfer

：從

MicrosoftExchange

中提取數據的工具；（

vault7

中出現次數：

43）

OSB

（行動支持部門）涉及的黑客工具

Operational Support Branch

，除了維護一些有用的軟體工具之外，

OSB

部門還針對一些個別行動目標開發了通用的解決方案，這其中就包括一些對

Windows

系統和手機

APP

的入侵工具：

Time Stomper

：用來在特定網路入侵行動中修改攻擊載荷時間戳屬性的工具；（

vault7

中出現次數：

12）

Munge Payload

：對攻擊載荷進行加密和免殺處理的工具；（

vault7

中出現次數：

65）

Magical Mutt

：可以實現惡意

DLL

注入並能監控目標系統進程的工具；（

vault7

中出現次數：

16）

Flash Bang

：瀏覽器沙箱逃逸和劫持工具，當成功逃逸或劫持後，可以實現對目標系統的進一步提權操作；

vault7

中出現的次數：

27

RickyBobby

：以電影《塔拉德加之夜》中的角色

RickyBobby

命名，包含多種

DLL

攻擊文件和執行腳本的一款輕量級的遠控植入工具，可以實現對目標系統的埠監聽、上傳和下載和命令執行等功能；（

vault7

中出現次數：

21）

Fight Club

：在特定攻擊活動中，利用移動載體作為傳播中介，通過在

VLC

、

WinRAR

、

TrueCrypt

、

Shamela

和

Microsoft Office

等軟體安裝程序中捆綁

RickyBobby

遠控，，實現控制感染目標系統的工具組件；（

vault7

中出現次數：

21）

Melomy DriveIn

：劫持

VLC

播放器

DLL

進程，間接植入

RickyBobby

遠控；（

vault7

中出現次數：

9）

Rain Maker

：隱藏於綠色版

VLC

播放器程序中，利用移動載體作為感染傳播中介，當用戶向網路隔離的目標系統中插入感染

U

盤介質時，可以隱蔽實施對網路隔離系統的文件竊取和信息收集；（

vault7

中出現次數：

101）

Improvise

：支持

Windows

、

Mac

和

Linux

主流操作系統的數據收集和竊取工具，可以用於攻擊配置、數據後處理、

Payload

調整設置和攻擊方法選擇的工具集。針對不同的攻擊目標系統，還定義了極具酒吧韻味的名字：

Margarita, Dancefloor, Jukebox

；（

vault7

中出現次數：

28）

Basic Bit

：一款針對

Windows

系統的鍵盤記錄工具；（

vault7

中出現次數：

158）

Fine Dining

：為執行入侵任務的技術特工提供的一系列定製服務，如生成一個偽裝的

PDF

文檔，利用該文檔在目標

Mac

系統中執行文件搜集任務，或對特定程序執行

DLL

劫持；（

vault7

中出現次數：

53）

HammerDrill

：利用

CD/DVD

作為傳播感染介質，通過向磁碟中寫入惡意代碼，實現對目標系統的感染控制；

vault7

中出現的次數：在

HammerDrill v2.0

版本中還有一項功能：若目標系統正在使用

Nero

進行軟體刻錄，就會在刻錄的新盤中安裝

32-bit

的隱藏木馬程序；（

vault7

中出現次數：

12）

Taxman

：（

vault7

中無介紹）

HyenasHurdle

：（

vault7

中無介紹）

AIB

（自動植入部門）涉及的黑客工具

Automated Implant Branch

，該部門負責一些植入類木馬遠控程序的研發，雖然涉及的大部分黑客工具未給出具體說明，但從部分曝光工具可以窺見其大概意圖：

Frog Prince

：全功能木馬遠控植入集成系統，包括

C&C

控制端、埠監聽和植入軟體；（

vault7

中出現次數：

38）

Grasshopper

：針對

Windows

系統的一個高度可配置木馬遠控植入工具；（

vault7

中出現次數：

91）

Caterpillar

：通過安全傳輸方式從目標系統獲取文件的工具；（

vault7

中出現次數：

85）

AntHill

：似乎是一個遠控植入軟體用來進行文件管理的組件；（

vault7

中出現次數：

28）

The Gibson

：似乎是一個用來進行

C&C

控制和監聽的程序組件；（

vault7

中出現次數：

19）

Galleon

：從目標計算機中把文件通過安全傳輸方式複製到控制端的一組腳本和工具集；（

vault7

中出現次數：

38）

Assassin

：（

vault7

中無介紹）

HercBeetle

–

（

vault7

中無介紹）

CandyMountain

–（

vault7

中無介紹）

Hornet

–

（

vault7

中無介紹）

Cascade

–（

vault7

中無介紹）

MagicVikings

–

（

vault7

中無介紹）

NDB

（網路設備部門）涉及的黑客工具

Network Devices Branch

，不像其它

EDB

、

NDB

部門一樣有直觀的上級主管部門說明，該部門的上級主管部門

SED

尚不明確。

AfterMidnight

：一個使用

DLL

注入技術對

Windows

系統進行系統提權的工具套裝；（

vault7

中出現次數：

13）

Packrat

：由開源或商業工具集成的一個實施自動監聽的軟體套裝，可以適用於

VMWare Workstation

、

VMWare ESXi

、

VirtualBox

、

OpenStack

、

KVM/QEMU

、

Docker

、

AWS

、

Google Compute Cloud

等不同服務系統的配置監聽；（

vault7

中出現次數：

34）

RoidRage

：針對

Android 5.0

以前的設備進行木馬植入和漏洞利用的工具；（

vault7

中出現次數：

104）

The.Net

：包含一系列虛構公司名稱，如

Umbrella

、

Abstergo

等，用於模擬真實內外網路通信的一個網路配置工具套裝；（

vault7

中出現次數：

1411）

Philosoraptor

：尚不清楚具體用途，但從其「聲稱目的」可以看出，該工具用來描述和展示商業軟體工具的獨特性功能；（

vault7

中出現次數：

32）

Marble Framework

：用來對黑客軟體的開發代碼進行混淆處理、防止被歸因調查取證的工具，與其它同類工具共同形成一個整體的混淆編碼系統；（

vault7

中出現次數：

66）

Kraken

：似乎是用來對網路攻擊活動進行項目管理和狀態跟蹤的工具；（

vault7

中出現次數：

23）

Fluxwire

：承包商提供分布式集成網路管理工具，用於對連接入網的設備進行狀態管理和命令配置，支持

9

種類型的操作系統和

6

種架構模式（詳細參見說明

）；（

vault7

中出現次數：

78）

Cocoon ：

（

vault7

中無介紹）

Tremor ：

（

vault7

中無介紹）

涉及

iOS

系統的黑客工具

Adderall

：一款從

iOS

設備中提取文件和內核緩存的工具；（

vault7

中出現次數：

132）

ElderPiggy

：

iOS

系統提權工具；（

vault7

中出現次數：

39）

NightVision

：讀取和記錄

iOS

系統內核存儲的工具；（

vault7

中出現次數：

122）

Nightskies

：通過

CrunchyLimeSkies

工具針對

iOS

系統進行木馬植入的工具；（

vault7

中出現次數：

83）

Mcnugget

：針對

iOS

系統植入木馬進行任務管理和控制的工具；（

vault7

中出現次數：

174）

HAMR

：針對移動操作系統進行瀏覽器漏洞利用的工具；（

vault7

中出現次數：

139）

DRBOOM

：針對

iOS 8.2

之前系統，進行單步木馬植入的工具；（

vault7

中出現次數：

9）

涉及

Andriod

系統的黑客工具

文檔中提到，

CIA

針對

Andriod

系統開發了多個可利用漏洞，但這些漏洞信息已經經過編輯處理，所以，在此只對涉及的一些典型黑客工具作出介紹：

AngerQuake

（後改名為

AngerManagement

）：針對

Andriod

系統，收集存在漏洞的瀏覽器插件，提供給

HAMR

工具執行漏洞利用；（

vault7

中出現次數：

69）

Orion

：針對

Andriod

系統的一個

webkit

漏洞利用工具，適用於

Andriod4.04.14.2

；（

vault7

中出現次數：

35）

Freedroid

：一款

Andriod

系統提權工具；（

vault7

中出現次數：

86）

除此之外，針對

Andriod

系統，

CIA

還具有諸如

Barracuda

、

FlameSkimmer

、

Spearow

、

Dragonfly

等多種瀏覽器進行漏洞利用和入侵提權的工具，具體請點此參閱。

總結

從維基解密曝光的vault7文檔中可知，CIA非常重視網路入侵技術能力建設，從工具設計、代碼編寫、程序部署、後期維護、攻擊實施等多個方面，都把網路攻擊活動當成一項系統化工程來進行實施；另外，從CIA組織架構來看，其各個分支部門分工明確、責任清晰、目標統一，雖然研究的重點各不相同，但最終又能形成針對各種網路攻擊任務的團隊協作和合力出擊，威脅巨大。

據維基解密聲稱，後續還會對大量CIA數據進行公布曝光，Freebuf將持續關注該事件的最新進展，同時繼續深入分析現有內容，第一時間披露相關信息。

*參考來源：

techcrunch

，freebuf小編clouds編譯，轉載請註明來自Freebuf.com

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！