CIA Vault7針對Window系統定製惡意軟體平台
E安全5月16日訊 據報道,維基解密公布了CIA專門針對Window系統的兩個不同的惡意軟體平台,代號為「午夜之後」(AfterMidnight)和「暗殺者」(Assassin)。
就在「WannaCry」勒索病毒肆虐,致全球關鍵基礎設施和私有組織機構遭遇勒索時,維基解密公布了Vault7系列一批新CIA文件。
AfterMidnight和Assassin是CIA用來創建針對Windows的自定義惡意軟體框架,這兩個框架均實現了經典的後門功能,允許CIA控制目標系統。
本文系E安全官網獨家編譯報道
自今年三月以來,維基解密獲取了數千份CIA文件。維基解密過去幾周泄露的文件如下:
Year Zero:暴露了CIA針對硬體和軟體的黑客漏洞利用工具。
Dark Matter:包含iPhone和Mac黑客漏洞利用工具。
Marble:CIA用來隱藏網路攻擊歸因的框架
Grasshopper:揭露了CIA入侵Windows和繞過反病毒保護的自定義惡意軟體框架。
Archimedes工具:CIA針對LAN網計算機的工具。
Scribbles項目:用於文件追蹤的。
相關閱讀:
維基解密再爆CIA MitM攻擊【工具】
CIA Vault7泄露文檔第五波:多平台入侵植入和管理控制工具HIVE
CIA Vault 7第四波:蝗蟲來襲,微軟Windows寸草不生【附下載】
維基解密發布CIA所使用的MacBook與iPhone入侵工具包
維基解密泄露「Vault 7」文件 揭秘CIA黑客工具
AfterMidnight「午夜之後」
維基解密指出,AfterMidnight惡意軟體框架允許CIA操作人員在目標系統動態載入並執行有效載荷(Playload)。其主要有效荷載被偽裝成自行持續的Windows動態鏈接庫(DLL)文件,並執行名為「Gremlin」小型有效載荷。Gremlin可以破壞目標軟體的功能,收集目標信息或為其它「Gremlins」提供服務。
「Gremlin」是AM有效載荷的術語,其隱藏在目標設備上運行,此外,Gremlin還可以:
破壞目標軟體的功能;
提供基本的調查/滲漏;
為其它Gremlin提供內部服務。
本文系E安全官網獨家編譯報道
AfterMidnight利用基於HTTPS的監聽站(LP)系統「Octopus」檢查已安排的事件。在內存中載入所有新Gremlin之前,每創建一個新Gremlin,AfterMidnight會下載並存儲所有必需的組件。
AfterMidnight用戶指南
維基解密此次泄露的文件包含AfterMidnight用戶指南,AfterMidnight平台提供的指南描述如下:
AfterMidnight是一個DLL,能作為Windows
DLL自行保持持續性,並通過基於HTTPS的LP安全執行「Gremlin」。一旦安裝到目標設備上,AM將在可配置的已安排事件上返回至配置LP,查看是否有新計劃要執行。如果有新計劃,在載入內存中所有新Germlin之前,AfterMidnight會下載並存儲所有必需的組件。所有本地存儲由未存儲在客戶端上的「LP」密鑰加密。如果AM無法聯繫LP,該平台將無法執行任何有效載荷。
AfterMidnight使用的本地存儲使用密鑰加密,其密鑰未存儲在目標設備上。
CIA操作人員可以使用特殊模塊「AlphaGremlin」中包含的自定義語言安排自定義任務。
Assassin「暗殺者」
維基泄密對Assassin惡意軟體框架的描述如下:
Assassin是一款與AfterMidnight類似的惡意軟體,它是一款自動化植入程序(Implant),在運行Windows操作系統的遠程計算機上提供簡單的收集平台。一旦該工具安裝到目標設備上,植入程序在Windows服務進程內運行。Assassin(就像AfterMidnight)將定期向配置的監聽站發送信標,請求任務並提供結果。部署時(或之前)配置一個或多個傳輸協議,該工具便會進行通信。Assassin的命令與控制(C2)和監聽站(LP)子系統統稱為「The Gibson」,並允許操作人員在受感染目標上執行特定的任務。
一旦感染目標設備,Assassin 便會在Windows服務進程後運行植入程序,從而允許CIA操作人員執行惡意任務。
Assassin 用戶指南
Assassin 的用戶指南顯示,該惡意軟體框架的四個組件為:
「植入程序」(Implant):在目標Windows設備上提供核心邏輯和功能,包括通信和執行任務。
「生成器」(Builder):配置Implant組件。
命令與控制(C2)子系統:充當操作人員和監聽站之間的介面。
監聽站(LP):允許Assassin Implant通過Web伺服器與命令與控制子系統通信。
本次泄露文件地址請參看E安全官網報道
E安全註:本文系E安全官網獨家編譯報道,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。
@E安全,最專業的前沿網路安全媒體和產業服務平台,每日提供優質全球網路安全資訊與深度思考。
※全球網安資訊榜(2017年5月第2期)
※報告:10%的數據泄露事件超過1年才被發現
※移動加密市場強勁,未來5年規模將達到132億元
※網路戰前夜:NSA聯手西點軍校搞摸底考試
※全球不同廠商1250種型號的攝像頭存在共同漏洞
TAG:E安全 |
※Anti Social Social Club x INVISIBLE:MAN 打造哥特風聯名
※創意髮型:羅馬尼亞 Lucian Busuioc-IDENTITY Collection
※WordPress Simple Social Buttons插件安全漏洞
※美國中情局CIA投資,AR/VR服務商Immersive Wisdom完
※Anti Social Social Club x A BATHING APE? 聯名預告釋出
※用ARKit、iPhone X實時捕捉面部動畫,Unity推出Facial AR Remote
※Back to the BADLANDS:SOCIAL SUPPLY 5 Year Anniversary!
※Mercia宣布與Digital Catapult合作推動下一代VR/AR業務
※Hublot宇舶表推出Big Bang Unico Special One限量腕錶
※恭喜VIP學員斬獲PwC上海Assurance Associate全職Offer!
※恭喜VIP學員斬獲YeswayBeverlyFinancial Reporting Analyst全職Offer!
※社交軟體 Vero - True Social 成為 Facebook 新勁敵
※Anti Social Social Club x A BATHING APE? 2018 春夏聯名系列 Lookbook
※theBallroom Presents丨CLERGERIE x Lucia Liu - 把花園種在鞋底
※SOAR NEWS|A-COLD-WALL* x Nike、Carhartt WIP、Balenciaga 透明造型
※Les Vêtements de Football膽子好大!竟一次性惡搞BALENCIAGA、GUCCI、COMME des GAR?ONS!
※ASH 推出全新鞋款 Addict「致敬」Balenciaga Triple S
※BOTTEGA VENETA(葆蝶家) Olimpia baby Intrecciato 水蛇皮單肩包
※Andersen Global攜手CNA - Curado, Nogueira Associados擴張葡萄牙業務
※Anti Social Social Club 將與 Neighborhood 帶來聯名系列