CIA Angelfire：專門感染Windows的惡意軟體框架

E安全9月1日訊 維基解密8月31日發布了CIA Angelfire項目的相關文檔。此項目為一套惡意軟體框架，專門用於感染Windows計算機設備。

根據目前披露的CIA使用手冊，Angelfire項目共包含五大組成部分，其各自擁有不同的作用：

Solartime- 一款用於修改引導扇區以載入Wolfcreek的惡意軟體。

Wolfcreek- 一款自載入驅動程序，可用於載入其它驅動程序以及用戶模式應用。

Keystone- 此組件負責啟動其它植入物（所謂植入物，為CIA方面用於表述惡意軟體的技術術語）。

BadMFS- 創建於活動分區末尾位置的一套創建文件系統。AngelFire項目利用BadMFS存儲其它所有組件。其中的全部文件皆經過混淆與加密。

Windows Transitory File System- 一種新型組件，可用於替代BadMFS。該組件不會將文件存儲在隱藏文件系統當中，而是將其存儲為系統所使用的暫時性（臨時性）文件。

根據外泄文檔的說明，Angelfire工作適用於32位與64位Windows XP及Windows 7系統，還作用於64位Windows Server 2008 R2系統。

這並非CIA的最強「傑作」

Angelfire框架只是CIA入侵Windows用戶的相關軍備庫中的工具之一。此前曝出的其它工具還包括Grasshopper、ELSA、AfterMidnight以及Assassin等等。

相較於其它工具，Angelfire項目的技術水平似乎算不上十分高明。此次流出的相關文檔包含一整套問題清單。

舉例來說，各安全產品皆可經由名為「zf」的文件檢測到BadMFS文件系統的存在，另外用戶亦會在Angelfire中各組件發生崩潰時收到彈窗提示。

除此之外，其中的Keystone組件始終被偽裝為「C:Windowssystem32svchost.exe」進程，而無法在用戶的Windows被安裝在其它路徑時（例如D:）動態調整其攻擊方向。此外，其在XP上無法支持DLL持久性。總而言之，Angelfire項目遠稱不上是CIA的最強「傑作」。

Angelfire項目泄露地址：https://wikileaks.org/vault7/releases/#Angelfire

Vault 7 CIA泄漏匯總

維基解密上次發布的另一個CIA項目，被稱為「快車道」（ExpressLane）。CIA藉助「快車道」用以暗中監視全球情報合作夥伴，包括FBI、DHS和CIA，秘密收集合作機構的系統數據，而這一秘密項目最早可以追溯到2009年。自今年3月份以來，維基解密已經發布了22批「Vault 7」系列，下面是E安全整理包括最新和上周的泄漏以及以下批次：

13.AfterMidnight （「午夜之後」，Winodws平台上的惡意軟體框架）；

16.Weeping Angel （「哭泣天使」，將智能電視的麥克風轉變為監控工具）；

17.Hive （「蜂巢」，多平台入侵植入和管理控制工具）；

19.Marble Framework （「大理石框架」，用來對黑客軟體的開發代碼進行混淆處理、防止被歸因調查取證）；

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！