維基解密披露CIA惡意軟體框架中的新工具：AfterMidnight與Assassin

新聞 05-17

當整個世界都在忙於應對 WannaCry惡意軟體之時，維基解密發布了CIA Vault 7工具包中新的一批文件，詳細披露了針對Winodws平台上的兩個惡意軟體框架——AfterMidnight以及Assassin。

早在2017年3月7日，維基解密就披露了成千上萬個來自CIA的文件及秘密黑客工具，維基解密稱之為

Vault 7

。這被認為是CIA史上最大規模的機密文檔泄露。

而本次5月中旬最新的文件披露，已經是

Vault 7

系列中的第八次文件披露。這次公布的AfterMidnight以及Assassin均屬於CIA惡意軟體框架。它會在受感染的計算機上監控並彙報用戶行為，再由遠程主機執行惡意行為。

AfterMidnight 惡意程序框架

維基解密在文件中稱，攻擊者會使用AfterMidnight在目標系統上進行動態載入，然後執行惡意payload。

惡意payload中的主控制模塊，會偽裝成Windows動態鏈接庫文件（DLL），執行Gr

emlins（小精靈）操作（這裡的gremlins是個術語，指的是一種隱藏在目標計算機中的payload）。它會檢測、破壞目標軟體的功能，或者為其他gremlins提供服務。

目標設備一旦安裝了AfterMidnight，就會使用Octopus來檢查預定事項（Octopus是一種基於HTTPS的LP服務）。系統如果在檢測時發現了新的預定事項，AfterMidnight就會自動下載並存儲所有必要的組件，然後再在內存中載入這些新的gremlins。

AfterMidnight是一個偽裝成Windows服務的動態鏈接庫。它通過基於HTTPS的LP服務進行Gremlins操作。目標設備上安裝了

AfterMidnight

後，會在配置設置下調用配置好的LP服務，然後檢查是否有新的計劃需要執行。如果有新的計劃，它就會下載並存儲所有需要的組件到本地，然後載入到內存中。所有的存儲文件都以一個LP密鑰加密保存。而這個密鑰保存在遠程計算機上，如果AfterMidnight無法與LP進行連接，則無法執行任何payload。

最新披露的

用戶指南

中也指出，AfterMidnight的文件密鑰保存在其他地方。程序中有一個叫做

AlphaGremlin的

特殊模塊。

AlphaGremlin

中包括了一種特別的腳本語言，可以讓使用者在目標設備上設定自定義的任務，然後遠程執行這些惡意操作。

Assassin 惡意程序框架

Assassin 類似於AfterMidnight ，可以理解為針對微軟Windows操作系統的自動植入軟體。它為攻擊方提供了遠程數據收集的平台。Assassin 安裝在目標計算機上後，這個工具會在Windows服務進程中運行植入程序，允許攻擊者在目標設備上運行惡意任務，整體作用與AfterMidnight非常類似。

Assassin中總共包含了四個子系統：分別是implant, Builder, Command and Control以及Listening Post。

Implant子系統中具有該工具的核心邏輯及功能部分，如通訊功能和任務執行功能。通過Builder可以對此進行配置並部署在目標計算機上。

Builder子系統則是對植入及部署可執行文件之前，提供了一個定製化的命令行界面，這樣在植入操作執行之前可以先設定植入的相關配置。

Command and Control子系統則像是操作和 Listening Post (LP)之間的介面，LP來允許Assassin Implant與Command and Control子系統通過web伺服器進行通訊。