CIA 新一波工具AngelFire： 針對Windows系統的永久惡意框架

本周，維基解密發布了新一款 CIA 工具 AngelFire。AngelFire 是一款框架植入工具，可以作為永久後門留存在被感染系統的分區引導扇區中，對目標系統進行永久遠程控制。泄露的用戶手冊顯示，AngelFire 需要獲得管理員許可權才能成功入侵目標系統。

 

與此前的 Grasshopper、ELSA、 After Midnight 類似，AngelFire 也是一款永久性框架，可以在目標系統（Windows XP 與 Windows 7）中載入並執行定製的注入程序。

AngelFire 有五個組成部分：

1. Solartime

 — 修改分區引導扇區，讓系統每次載入引導設備驅動時，能載入並執行 Wolfcreek （內核代碼）；

2. Wolfcreek

 — 自動載入驅動（即 Solartime 執行的內核代碼），可以載入其他驅動和用戶模式的應用；載入其他驅動和應用時，就能創建可以在被感染機器上檢測到的內存泄漏；

3. Keystone

 — Wolfcreek 的一部分，利用 DLL 注入功能，直接在系統內存中執行惡意用戶應用，無需將惡意程序存儲進文件系統。創建的進程被命名為 svchost.exe，且所有的內容都是連續的，包含 svchost.exe 實例（如圖片路徑和父進程等）。

4. BadMFS

 — 在活動分區結尾（新版本BadMFS中會使用硬碟中的某個文件）創建隱藏的文件系統，存儲 Wolfcreek 啟動的所有驅動程序和植入程序；所有這些文件都經過了混淆和加密避免通過字元串和PE頭掃描特徵；

5. Windows Transitory File system

 — 用於安裝 AngelFire，可作為 BadMFS 的替代方法。CIA 特工可利用這個方法創建一些臨時文件，而不用像BadMFS一樣把他們存在隱蔽的文件系統中。這些文件可能是執行各種操作需要的文件，比如安裝、向 AngelFire 添加文件、從 AngelFire 移除文件等。這些臨時文件存在 「UserInstallApp」中。

文檔顯示， AngelFire 可以入侵 32 位的 Windows XP 和 Windows 7，以及 64 位的 Windows Server 2008 R2 和 Windows 7。AngelFire 有兩個安裝版本：可執行的安裝版本和 fire-and-collect .dll 安裝版本。

事實上，與 CIA 其他入侵 Windows 系統的工具相比，AngelFire 有一些不足

。例如，一些安全產品可以通過名為 「zf」的文件檢測到 BadMFSB 文件系統；在 AngelFire 其中一個組件崩潰時，用戶也能看到彈框警告。

此外， Keystone 組件利用

「C:Windowssystem32svchost.exe」 進程作為偽裝，但是，如果 Windows 系統路徑存在於 D 盤等其他分區，這個偽裝進程就無法進行對應調整；此外 Windows XP 系統並不支持永久 DLL 注入。

其他Vault 7 CIA工具

自今年3月7日開始，維基解密開始使用一個新的代號 Vault 7 作為美國中情局（CIA）的敏感信息披露計劃。根據維基解密的闡述，這些泄露的文件中包含了大量 0day，惡意軟體，病毒，木馬以及相關文檔的高度機密資料，在美國政府黑客和承包商之間傳播，其中有人向維基解密提交了這份絕密檔案的部分內容。

自項目開始以來，維基解密已經共計公布了 24 批 Vault 7 系列文件，詳情可點擊閱讀原文查看：

AngelFire – 框架植入工具，對目標系統進行永久遠程控制（2017.08.31）

ExpressLane – 監控包括 FBI、DHS 和 NSA 等在內的情報聯絡機構並搜集數據的工具（2017.08.25）

CouchPotato – 竊取RTSP/H.264視頻流工具（2017.8.10）

Dumbo – 用來關閉攝像頭監控的工具（2017.8.3）

Imperial – 三款後門工具（2017.7.28）

UMBRAGE / Raytheon Blackbird – CIA 承包商 Raytheon Blackbird Technologies 為 UMBRAGE 項目提供的惡意程序詳細解析文檔 （2017.7.19）

HighRise – 攔截 SMS 消息並重定向至遠程 CIA 伺服器的安卓惡意程序（2017.7.13）

BothanSpy & Gyrfalcon – 竊取 SSH 登錄憑證的工具（2017.7.6）

OutlawCountry – 入侵 Linux 系統的工具（2017.6.30）

ELSA - 可以對 Windows 用戶實施定位的惡意軟體（2017.6.28）

Brutal Kangaroo – 針對企業或組織中網路隔離Windows主機的CIA工具。（2017.6.22）

Cherry Blossom – 一款能夠遠程控制的基於固件的植入工具，利用Wifi設備中的漏洞監控目標系統的網路活動（2017.6.15）

Pandemic – CIA用它吧Windows文件伺服器變成攻擊主機，從而感染區域網內的其他主機（2017.6.1）

Athena – 一個間諜軟體框架，能夠遠程控制感染Windows主機，並且支持所有Windows操作系統，從Windows XP到Windows 10。（2017.5.19）

AfterMidnight和Assassin – CIA的兩個惡意軟體框架，針對Windows平台，能夠監控、回感測染主機的操作並且執行惡意代碼（2017.5.12）

Archimedes – 區域網內進行中間人攻擊的工具（2017.5.5）

Scribbles – 一款將web beacons加入加密文檔的工具，以便CIA黑客追蹤泄密者（2017.4.28）

Weeping Angel – 將智能電視的麥克風轉變為監控工具。利用此工具，CIA黑客能夠將打開居民家中的智能電視（而且是在用戶以為電視關閉的情況下），並竊聽人們的對話。（2017.4.21）

HIVE—— 多平台入侵植入和管理控制工具（2017.4.14）

Grasshopper – 一款框架，CIA用它來創建針對Windows的惡意軟體並且繞過殺毒軟體(2017.4.7)

Marble – 一款秘密反取證的框架，對惡意軟體的真實來源進行混淆（2017.3.31）

Dark Matter – 針對iPhone和Mac電腦的入侵工具（2017.3.23）

Year Zero – CIA針對硬體和軟體的漏洞利用工具

*參考來源：SecurityWeek，bleepingcomputer，AngelaY 編譯，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: