CIA專攻物理隔離網路的工具「殘忍的袋鼠」曝光

新聞 06-24

維基解密的年度大戲Vault 7雖然還沒到周更的程度，但更新頻率也已經相當頻繁，所以後續CIA泄露工具和手冊的出現已經讓人見怪不怪了。本周Vault 7系列更新也算比較有看點，雖然早在今年3月份，維基解密在宣布Vault 7系列問世的時候就已經簡單介紹過這次的Brutal Kangaroo（殘忍的袋鼠？聽起來很像Ubuntu的產品代號）。

維基解密昨天放出了「殘忍的袋鼠」惡意程序工具集手冊，這個工具集是用來專攻物理隔離網路的，或者說未接入互聯網的網路的，目標主要就是企業和關鍵基礎設施了。總的說來，其最初的攻擊向量和震網Stuxnet蠕蟲還是比較相似的。殘忍的袋鼠主體包括了如下這些工具：

Drifting Deadline - 這是「殘忍的袋鼠」工具集主體，包含一個GUI生成器，可用於生成所有必要的惡意程序；

Shattered Assurance - 這是運行在已感染設備上的伺服器組件，用Drifting Deadline生成的惡意程序來自動感染U盤（或移動存儲設備）；

Shadow - 在物理隔離網路中，將多台感染設備串聯起來的工具，攻擊者可定義一系列任務在離線計算機上執行；

「殘忍的袋鼠」是怎麼攻擊的？

CIA的這系列工具主要針對物理隔離網路，其攻擊流程還是比較複雜的，畢竟未接入互聯網的設備在安全性上具備了先天優勢：首先是用前面提到的Drifting Deadline，針對每個目標來生成第一和第二階段的惡意程序。

然後就可以開始感染目標網路中的計算機了。文檔中並未詳述最初的感染方式，最初感染的方法可能會比較多樣化，比如說首先感染企業中一台已經連接互聯網的設備，在其上安裝惡意程序。

這台被感染的設備在文檔中被成為「primary host」，本質上就是個感染中心；然後就要等待企業內的員工在這台設備上插入U盤了，「殘忍的袋鼠」組件採用惡意程序來感染這個U盤。如果這個U盤插到其它設備上，就會進行擴散感染，也就是惡意程序的第二階段了。不過很容易想見，這個過程除非安插了內鬼，否則多少還是需要些運氣的，尤其是U盤要插到primary host之上，還要插到物理隔離的設備之上。

第二階段的惡意程序投遞就和震網很相似了，都是利用惡意構造的Windows LNK快捷方式文件來傳播。

這些LNK文件只要在Windows資源管理器窗口中顯示就能自動執行惡意payload。

負責這部分攻擊的有2個exploit，分別名為Giraffe和Okabi，兩者都支持32位和64位架構。不過Drifting Deadline手冊中提到，後者似乎更為高效，因為它支持Windows 7/8/8.1，而Giraffe的執行向量已經在絕大部分Windows系統中修復，基本上就只對Windows XP有效。隨後收集數據的過程就開始了。

被感染的設備可以協同作戰

其實「殘忍的袋鼠」精華所在是感染物理隔離網路之後，將其中多台感染了這隻「袋鼠」的設備聯合起來。實現這個特性就需要用到文首提到的Shadow工具了。手冊中有描述：

「一旦多個Shadow實例得以安裝，則任務和payload就能來回傳送了（sent back-and-forth）。」在最初的Shadow任務執行，並且獲取到一批數據之後（數據收集和分析是通過Broken Promise模塊——這個模塊安裝在primary host之上），CIA方面就可以向被感染的物理隔離網路發出新的指令。維基解密提到：

「如果隔離網路中的多台設備都已經被CIA控制，這些設備就能組成秘密的網路來合作任務並進行數據交換。雖然文檔中並未明確做出說明，但這種入侵隔離網路的方式和震網還是非常相似。」

Shadow的新任務可以用上圖所示的生成器來配置，和第一階段的Drifting Deadline類似。新版Shadow惡意程序就如此生成了，其中可以包含最新的惡意程序指令。至於新版本的Shadow感染方法，還是要從上面的第一階段開始，感染USB設備來投遞新的Shadow版本到物理隔離網路中。

CIA或許已經開發出了新版本？

Drifting Deadline手冊中提到，截至2016年2月23日，已經有多款反病毒產品能夠檢測出「殘忍的袋鼠」惡意程序，包括Avira、Bitdefender、賽門鐵克等。而且實際上今年2月份，微軟就發布了多款修復LNK文件處理的漏洞，本月也發布了一個。

這些已經讓Giraffe和Okabi攻擊無法再生效了，CIA或許早就已經開發出了新的版本。

今年早前，我們在快訊中也提到維基解密承諾會和軟體供應商合作來修復Vault 7文檔中提到的漏洞。不知道微軟這兩個月推的補丁，是否是與維基解密合作的結果。這次「殘忍的袋鼠」也是Vault 7系列文檔的其中一個組成部分。感興趣的同學請等待後續的Vault 7更新吧，維基解密的更新效率還是相當高的。

* 參考來源：BleepingComputer，HackerNews，歐陽洋蔥編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章:

※遠程遙控IPTables進行埠復用
※走近黑客僱傭市場：刀尖上「跳舞」，懸崖邊狂歡
※國內外電商平台反爬蟲機制報告
※韓國網路託管公司Nayana向勒索軟體黑客支付100萬美元

TAG:FreeBuf |

您可能感興趣

※網路管理員必備的VoIP網路抖動測試工具
※SEO網路優化工具推薦
※童心制物CEO王建軍：AI是創造的工具，不是考試的工具
※AI混合工具的妙用
※網路管理員必備的最佳Wi-Fi熱圖工具，收藏了
※PS里裁剪工具的妙用
※給ZAO潑盆冷水：隱私、版權、工具化註定換臉APP難成風口
※電腦最強系統優化工具，輕鬆清理十幾G的電腦垃圾
※人工智慧大事件！張康團隊研發出AI診斷工具—可診斷視網膜疾病和肺炎，榮登《Cell》封面
※木工DIY項目：做一個電木銑刀頭的放置工具
※推動IC設計革命的七大EDA技術工具｜半導體行業觀察
※微軟AI野心曝光：從賣萌聊天的小冰到AI工具包
※七大加密貨幣挖掘工具和殭屍網路
※AutoMl及NAS概述：更有效地設計神經網路模型工具
※五大最流行的配置管理工具
※顯卡：「礦工」的挖礦工具「NVIDIA與AMD」
※非洲鄉間理髮店：鞋刷、火柴是工具，網友：我是服氣的
※萊特曼Charge ALX工具鉗：一把多功能工具鉗＝整個工具箱
※智易科技李傑：技術工具化，打造AI時代的「操作系統」
※網路管理員的5款最佳網路配置管理工具，收藏了