維基解密：CIA利用「野蠻袋鼠」滲透封閉網路

E安全訊 美國時間6月22日，維基解密披露發布了CIA Vault7系列的第十二批文件，分別是「野蠻袋鼠（Brutal Kangaroo）」和「情感猿猴（Emotional Simian）」項目。披露的文件詳細描述了美國情報機構如何遠程滲透入侵封閉的計算機網路或獨立的安全隔離網閘設備（Air-Gapped Devices，從未連接過互聯網的設備）。而這兩個項目只針對微軟Windows操作系統。

野蠻袋鼠（Brutal Kangaroo）

根據維基解密發布的消息，「野蠻袋鼠」是用於微軟Windows操作系統的工具套件，通過使用U盤或快閃記憶體（thumbdrives）的網閘擺渡來入侵封閉的網路。野蠻袋鼠組件在目標封閉網路內創建一個定製化的隱蔽網路，並提供調查執行、目錄列表和任意文件執行等功能。一般金融機構，軍事和情報機構，核電行業都會使用封閉網路以保護重要數字資產。

此次披露的文件描述了CIA如何能夠在無法直接訪問的情況下滲透組織或企業內的封閉網路（或安全隔離網閘的獨立計算機）。

首先，感染目標內的一台接入互聯網的計算機（稱為primary host「主要宿主」），並在這台計算機上安裝「野蠻袋鼠」惡意軟體。當用戶使用「主要宿主」並插入U盤或快閃記憶體盤時，U盤或快閃記憶體盤自身會被單獨的惡意軟體感染。

如果這個U盤或快閃記憶體盤用於在封閉的網路和LAN（區域網）/WAN（廣域網）之間複製數據，用戶遲早會將U盤或快閃記憶體盤插入到封閉網路中的計算機上，惡意軟體就會向袋鼠一樣跳來跳去感染封閉網路內的其他設備。通過在這種受保護的計算機上使用Windows資源管理器瀏覽USB驅動器，它也會感染滲透或探測惡意軟體。

如果封閉網路中的多台計算機都處於CIA控制之下，它們將形成一個隱蔽網路來協同任務和數據交換。

竊取的數據可以再次返回到CIA，這取決於有人將封閉網路計算機上使用的USB連接到在線設備。

雖然此次泄露的文檔中沒有明確說明，但是這種入侵破壞封閉網路的方法與世界上首個網路超級破壞性武器「震網病毒（Stuxnet）」的工作方式非常相似（詳見《震網病毒紀錄片《零日.Zero Days.2016》HD1080P E安全獨家中文字幕》）。

據稱CIA在2012年-也就是在伊朗的Stuxnet事件發生兩年後開始制定「野蠻袋鼠」項目。

野蠻袋鼠項目的主要組件

Drifting Deadline：用於感染U盤或快閃記憶體盤的惡意工具；

Shattered Assurance：這是一個伺服器工具，處理U盤或快閃記憶體盤的自動感染（該工具是野蠻袋鼠套件的主要傳播手段）；

Broken Promise：野蠻袋鼠後處理器（用於評估收集的信息），

Shadow：是主要的駐留機制（第2階段工具，分布在封閉的網路中，充當隱蔽的命令和控制網路；一旦安裝了多個Shadow實例並共享驅動器，任務和Payloads就能來回發送）。

受感染的USB設備使用的主要執行向量是微軟Windows操作系統中的一個漏洞，可以通過特製的鏈接文件來利用這些漏洞，這個特製文件可以在沒有用戶交互的情況下載入和執行程序（DLL）。舊版本的工具套件使用了一種稱為EZCheese的機制，這在2015年3月前一直是零日漏洞利用程序（CVE-2015-0096）; 較新版本似乎使用了類似但尚未知的鏈接文件漏洞，與Windows操作系統的庫描述文件library-ms有關。

情感猿猴（Emotional Simian）

「情感猿猴（Emotional Simian）」項目是一款惡意軟體程序：

本次維基解密披露發布了共計11個文件，這些文件顯示至少要到2035年才能被解密。而維基解密發布的文件日期為2016年2月，表明這兩個項目可能已經在去年就開始被CIA所使用。

維基解密CIA Vault7系列的第十二批文件地址：

https://wikileaks.org/vault7/document#brutalkangaroo

維基解密自三月以來公開的CIA工具

下面是E安全整理的維基解密自今年3月以來披露發布的CIA工具：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！