維基解密披露CIA惡意軟體框架中的新工具:AfterMidnight與Assassin
當整個世界都在忙於應對 WannaCry惡意軟體之時,維基解密發布了CIA Vault 7工具包中新的一批文件,詳細披露了針對Winodws平台上的兩個惡意軟體框架——AfterMidnight以及Assassin。
早在2017年3月7日,維基解密就披露了成千上萬個來自CIA的文件及秘密黑客工具,維基解密稱之為
Vault 7
。這被認為是CIA史上最大規模的機密文檔泄露。
而本次5月中旬最新的文件披露,已經是
Vault 7
系列中的第八次文件披露。這次公布的AfterMidnight以及Assassin均屬於CIA惡意軟體框架。它會在受感染的計算機上監控並彙報用戶行為,再由遠程主機執行惡意行為。
AfterMidnight 惡意程序框架
維基解密在文件中稱,攻擊者會使用AfterMidnight在目標系統上進行動態載入,然後執行惡意payload。
惡意payload中的主控制模塊,會偽裝成Windows動態鏈接庫文件(DLL),執行Gr
emlins(小精靈)操作(這裡的gremlins是個術語,指的是一種隱藏在目標計算機中的payload)。它會檢測、破壞目標軟體的功能,或者為其他gremlins提供服務。
目標設備一旦安裝了AfterMidnight,就會使用Octopus來檢查預定事項(Octopus是一種基於HTTPS的LP服務)。系統如果在檢測時發現了新的預定事項,AfterMidnight就會自動下載並存儲所有必要的組件,然後再在內存中載入這些新的gremlins。
AfterMidnight是一個偽裝成Windows服務的動態鏈接庫。它通過基於HTTPS的LP服務進行Gremlins操作。目標設備上安裝了
AfterMidnight
後,會在配置設置下調用配置好的LP服務,然後檢查是否有新的計劃需要執行。如果有新的計劃,它就會下載並存儲所有需要的組件到本地,然後載入到內存中。所有的存儲文件都以一個LP密鑰加密保存。而這個密鑰保存在遠程計算機上,如果AfterMidnight無法與LP進行連接,則無法執行任何payload。最新披露的
用戶指南
中也指出,AfterMidnight的文件密鑰保存在其他地方。程序中有一個叫做
AlphaGremlin的
特殊模塊。AlphaGremlin
中包括了一種特別的腳本語言,可以讓使用者在目標設備上設定自定義的任務,然後遠程執行這些惡意操作。
Assassin 惡意程序框架
Assassin 類似於AfterMidnight ,可以理解為針對微軟Windows操作系統的自動植入軟體。它為攻擊方提供了遠程數據收集的平台。Assassin 安裝在目標計算機上後,這個工具會在Windows服務進程中運行植入程序,允許攻擊者在目標設備上運行惡意任務,整體作用與AfterMidnight非常類似。
Assassin中總共包含了四個子系統:分別是implant, Builder, Command and Control以及Listening Post。
Implant子系統中具有該工具的核心邏輯及功能部分,如通訊功能和任務執行功能。通過Builder可以對此進行配置並部署在目標計算機上。
Builder子系統則是對植入及部署可執行文件之前,提供了一個定製化的命令行界面,這樣在植入操作執行之前可以先設定植入的相關配置。
Command and Control子系統則像是操作和 Listening Post (LP)之間的介面,LP來允許Assassin Implant與Command and Control子系統通過web伺服器進行通訊。
披露的後果與影響?
上周,維基解密也放出一個中間人攻擊工具Archimedes,該工具據稱是CIA用來攻擊LAN網路中計算機的。
美國情報機構試圖隱藏並獨佔漏洞,而不是公佈於眾。而在過去的三天內,利用一個月前Shadow Brokers泄露的漏洞利用工具的惡意軟體WannaCry猛烈席捲全球超過150個國家和地區。
微軟Brad Smith譴責美國情報機構的這種做法,他們將此次事件評價為「影響廣泛的危害事件」,而WannaCry事件發生的本質原因還是在於NSA,CIA和其他情報機構試圖獨佔0day漏洞卻不願意公佈於眾。
2017年出現了一種新的態勢,我們看到CIA試圖獨佔的漏洞被公布在維基解密上,現在這個威脅已經影響到世界各地的用戶。
也許是出於避免濫用的考慮,維基解密目前沒有公布任何exlpoit。近期發生的WannaCry事件應該已經驗證了公布情報機構的exploit可能會有的嚴重後果。
最後附上三月開始公開的Vault7系列文件,最新的文件披露如下所示:
? Year Zero:應對軟硬體入侵的CIA Exploit
? Weeping Angel :侵入智能電視的間諜軟體
? Dark Matter:iPhone和Mac的入侵 Exploit
? Marble:混淆網路攻擊的一款框架
? Grasshopper:為Windows系統構建定製化惡意軟體的平台
? Scribbles :文檔水印預處理系統,用以追蹤告密者及國外間諜的軟體。
* 參考來源:securityaffairs,thehackernews,securityweek,本文作者Elaine,轉載請註明來自FreeBuf.com
※某雲用戶網站入侵應急響應
※學點演算法搞安全之apriori
※竊取股市交易機密,三名中國黑客被罰9百萬美元
※分享「永恆之藍(MS17-010)」批量遠程檢測工具
TAG:FreeBuf |
※AI 框架使用排行:TensorFlow、Scikit Learn、IBM Watson、Spark-MLib、Keras
※基於Asyncio的Python微框架:Quart
※谷歌開源AdaNet:基於TensorFlow的AutoML框架
※谷歌开源AdaNet:基于TensorFlow的AutoML框架
※淺談Metasploit框架中的Payload
※Wasserstein is all you need:構建無監督表示的統一框架
※JFinal框架學習——EhCachePlugin
※SpringMVC + security模塊 框架整合詳解
※Spring Cache 框架
※學界 | Wasserstein is all you need:構建無監督表示的統一框架
※Electron 軟體框架漏洞影響眾多熱門應用:Skype、Signal、Slack、Twitch……
※RPC框架實踐之:Apache Thrift
※LinkedIn 開源 TonY:在 Hadoop 上運行 TensorFlow 的框架
※LinkedIn開源TonY:在Hadoop上運行TensorFlow的框架
※微軟開源 Windows UX 框架:WPF、WinUI、Windows Forms
※圍觀丨Google 的 Mobile UI 框架 Flutter Preview 1 發布!
※AspectJ 框架 spring 實現 AOP?
※Jmeter+Ant+Jenkins介面自動化測試框架搭建for Windows
※「AAAI oral」阿里北大提出新attention建模框架
※類Keras的PyTorch 深度學習框架——PyToune