維基解密曝第18批Vault 7文件：CIA「帝國」項目

關注E安全 關注網路安全一手資訊

E安全訊，美國當地時間7月27日，維基解密公布第18批CIA Vault 7文件：「帝國」（Imperial ）項目文件。

這批文件包含三款工具：「阿基里斯」（Achilles）、「艾瑞絲」（Aeris ）和「海濱山黧豆」（SeaPea）。

Achilles

「阿基里斯」（Achilles）是一款可以在OS X磁碟鏡像（.dmg）安裝包中植入木馬執行惡意腳本的工具。

Achilles 針對的目標設備為：Intel Core 2 Processor，OS X。

維基解密公開的Achilles用戶指南顯示 ，Achilles的執行如下：

• 被植入木馬的DMG看起來與原來的DMG無異。

• 但一旦木馬DMG在目標設備上運行，會出現一個窗口提示用戶將鏡像安裝包拖拽到目錄中。

• 當用戶首次運行鏡像安裝包時，所有可執行文件將在真正的安裝包啟動之後運行。

• 可執行文件運行後，Achilles文件的所有其它痕迹將從「.app」安全移除。

• 生成的 「.app」文件與原始的「.app」非常相似。

• 隨後對「.app」的調用將不會調用惡意可執行文件。

Aeris

「艾瑞絲」（Aeris ）是一款用C語言編寫的自動化植入程序（Implant），可支持大量基於POSIX的系統 （Debian、RHEL、Solaris、FreeBSD、CentOS）。這款工具支持的功能包括自動化文件滲漏、可配置的信標間隔和Jitter、獨立和基於Collide的HTTPS LP支持、具有相互驗證的SMTP協議支持。Aeris與NOD加密規範兼容，並提供幾款類似Windows植入程序使用的架構化命令與控制。

Aeris的用戶指南顯示，這款工具支持的系統如下：

• Debian Linux 7（i386）

• Debian Linux 7 （amd64）

• Debian Linux 7（ARM）

• Red Hat Enterprise Linux 6（i386）

• Red Hat Enterprise Linux 6 （amd64）

• Solaris 11（i386）

• Solaris 11（SPARC）

• FreeBSD 8（i386）

• FreeBSD 8（amd64）

• CentOS 5.3（i386）

• CentOS 5.7（i386）

SeaPea

「海濱山黧豆」（SeaPea）是一款OS X Rootkit，提供隱秘的啟動功能。SeaPea會隱藏文件/目錄，套接字連接和/或進程。這款Rootkit在Mac OSX 10.6和10.7上運行。

SeaPea存在一些限制：無法在單用戶模式上載入，因此，在單用戶模式下不會隱藏文件/目錄、埠和進程。如果用戶使用不同的操作系統掛載文件系統，這款Rootkit將不會隱藏相關的文件/目錄。

維基解密持續供貨

下面是E安全整理的維基解密自今年3月以來披露發布的其它CIA工具，點擊即可查看：

「帝國」項目地址：https://wikileaks.org/vault7/#Imperial

28

E安全推薦文章

官網：www.easyaq.com

2017年7月

01

02

03

04

05

06

07

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！