CIA Vault7泄露文檔第五波：多平台入侵植入和管理控制工具HIVE

科技 04-20

最近，NSA和CIA的網路武器都被捅婁子了，4月14日，就在ShadowBroker公布第二批NSA網路大殺器的同一天，維基解密繼續公布了Vault7系列名為HIVE（蜂巢）的CIA網路工具相關文檔。文檔共6份，包括了HIVE的開發使用和配置工作文檔等，最早版本記錄可追溯到2015年10月。

HIVE是CIA計算機網路行動小組（COG）在執行遠程目標任務時使用的一個協助平台，由CIA嵌入式研發部門（EDB）開發，可以提供針對Windows、Solaris、MikroTik（路由器OS）、Linux和AVTech網路視頻監控等系統的定製植入程序，並能實現多種平台植入任務的後台控制工作，協助CIA從植入惡意軟體的目標機器中以HTTPS協議和數據加密方式執行命令和竊取數據。其自身具備的HTTPS協議介面為網路入侵行為增添了隱蔽掩護性。

曾有一些殺軟公司和安全專家通過網路入侵行為，偵測到了一些國家級別的網路攻擊活動使用了類似HIVE的攻擊架構，但之前卻一直無法準確溯源。而就在最近，賽門鐵克研究人員通過對vault7文檔的調查後發現，CIA可能就是操控運行黑客組織

Longhorn的幕後黑手，Longhorn曾對至少16個國家的40個目標系統發起過攻擊。賽門鐵克報告中對

Longhorn的網路攻擊架構是這樣描述的：

在網路入侵活動中，對遠程控制C&C端來說，Longhorn會單獨為每個目標分配一個特定的IP和域名組合。有些奇怪的是，為了隱匿身份和行為，這些域名看似是由攻擊者自己註冊的，但這些IP地址都指向正規VPS和網站託管商。這些入侵活動中涉及的惡意軟體，在與遠端C&C伺服器之間的交流通信卻是HTTPS方式，而且使用了自定義的底層加密協議來進行偽裝。

此次HIVE工具相關文檔的曝光更為之前殺軟公司和安全專家的分析提供了佐證。

HIVE工作原理

HIVE的攻擊原理為在TCP/UDP協議通信中，執行XOR和其它加密演算法，通過軍工商諾斯·格魯曼（Northrop Grumman）研發的代理架構BLOT和一個名為Switchblade的中間架構，在入侵目標與CIA遠程控制端進行隱蔽通信和管理控制。其中，所有的C&C通信又通過BLOT架構配置的Apache伺服器和域名中轉腳本進行回連控制，而且為了增強隱蔽性，所有HIVE使用的IP地址都可以在VPS系統內完成重定向動作。

BLOT架構描述

每一個被植入惡意軟體的入侵目標，在與C&C端進行反彈連接時，在VPS系統內由其自身攜帶的反彈信息被指定適配域名和重定向更改，之後，這些域名流量信息又會到達BLOT的代理通道。由於在VPS系統內經過重定向更改，埠等信標信息都會被重新更改之後發送給BLOT架構，如之前通過80埠連接某域名，那麼重定向更改發送給BLOT時，可能就是8001埠。BLOT架構看似就像一個流量中轉處理器，當它接收到有效且重要信標後，就會發送給Honeycomb進行後端處理，並且，所有流量最終都會鏡像發送至隱蔽的Apache伺服器（Cover server）。