CIA 新一波工具AngelFire: 針對Windows系統的永久惡意框架
本周,維基解密發布了新一款 CIA 工具 AngelFire。AngelFire 是一款框架植入工具,可以作為永久後門留存在被感染系統的分區引導扇區中,對目標系統進行永久遠程控制。泄露的用戶手冊顯示,AngelFire 需要獲得管理員許可權才能成功入侵目標系統。
與此前的 Grasshopper、ELSA、 After Midnight 類似,AngelFire 也是一款永久性框架,可以在目標系統(Windows XP 與 Windows 7)中載入並執行定製的注入程序。
AngelFire 有五個組成部分:
1. Solartime
— 修改分區引導扇區,讓系統每次載入引導設備驅動時,能載入並執行 Wolfcreek (內核代碼);2. Wolfcreek
— 自動載入驅動(即 Solartime 執行的內核代碼),可以載入其他驅動和用戶模式的應用;載入其他驅動和應用時,就能創建可以在被感染機器上檢測到的內存泄漏;3. Keystone
— Wolfcreek 的一部分,利用 DLL 注入功能,直接在系統內存中執行惡意用戶應用,無需將惡意程序存儲進文件系統。創建的進程被命名為 svchost.exe,且所有的內容都是連續的,包含 svchost.exe 實例(如圖片路徑和父進程等)。4. BadMFS
— 在活動分區結尾(新版本BadMFS中會使用硬碟中的某個文件)創建隱藏的文件系統,存儲 Wolfcreek 啟動的所有驅動程序和植入程序;所有這些文件都經過了混淆和加密避免通過字元串和PE頭掃描特徵;5. Windows Transitory File system
— 用於安裝 AngelFire,可作為 BadMFS 的替代方法。CIA 特工可利用這個方法創建一些臨時文件,而不用像BadMFS一樣把他們存在隱蔽的文件系統中。這些文件可能是執行各種操作需要的文件,比如安裝、向 AngelFire 添加文件、從 AngelFire 移除文件等。這些臨時文件存在 「UserInstallApp」中。文檔顯示, AngelFire 可以入侵 32 位的 Windows XP 和 Windows 7,以及 64 位的 Windows Server 2008 R2 和 Windows 7。AngelFire 有兩個安裝版本:可執行的安裝版本和 fire-and-collect .dll 安裝版本。
事實上,與 CIA 其他入侵 Windows 系統的工具相比,AngelFire 有一些不足
。例如,一些安全產品可以通過名為 「zf」的文件檢測到 BadMFSB 文件系統;在 AngelFire 其中一個組件崩潰時,用戶也能看到彈框警告。此外, Keystone 組件利用
「C:Windowssystem32svchost.exe」 進程作為偽裝,但是,如果 Windows 系統路徑存在於 D 盤等其他分區,這個偽裝進程就無法進行對應調整;此外 Windows XP 系統並不支持永久 DLL 注入。
其他Vault 7 CIA工具
自今年3月7日開始,維基解密開始使用一個新的代號 Vault 7 作為美國中情局(CIA)的敏感信息披露計劃。根據維基解密的闡述,這些泄露的文件中包含了大量 0day,惡意軟體,病毒,木馬以及相關文檔的高度機密資料,在美國政府黑客和承包商之間傳播,其中有人向維基解密提交了這份絕密檔案的部分內容。
自項目開始以來,維基解密已經共計公布了 24 批 Vault 7 系列文件,詳情可點擊閱讀原文查看:
AngelFire – 框架植入工具,對目標系統進行永久遠程控制(2017.08.31)
ExpressLane – 監控包括 FBI、DHS 和 NSA 等在內的情報聯絡機構並搜集數據的工具(2017.08.25)
CouchPotato – 竊取RTSP/H.264視頻流工具(2017.8.10)
Dumbo – 用來關閉攝像頭監控的工具(2017.8.3)
Imperial – 三款後門工具(2017.7.28)
UMBRAGE / Raytheon Blackbird – CIA 承包商 Raytheon Blackbird Technologies 為 UMBRAGE 項目提供的惡意程序詳細解析文檔 (2017.7.19)
HighRise – 攔截 SMS 消息並重定向至遠程 CIA 伺服器的安卓惡意程序(2017.7.13)
BothanSpy & Gyrfalcon – 竊取 SSH 登錄憑證的工具(2017.7.6)
OutlawCountry – 入侵 Linux 系統的工具(2017.6.30)
ELSA - 可以對 Windows 用戶實施定位的惡意軟體(2017.6.28)
Brutal Kangaroo – 針對企業或組織中網路隔離Windows主機的CIA工具。(2017.6.22)
Cherry Blossom – 一款能夠遠程控制的基於固件的植入工具,利用Wifi設備中的漏洞監控目標系統的網路活動(2017.6.15)
Pandemic – CIA用它吧Windows文件伺服器變成攻擊主機,從而感染區域網內的其他主機(2017.6.1)
Athena – 一個間諜軟體框架,能夠遠程控制感染Windows主機,並且支持所有Windows操作系統,從Windows XP到Windows 10。(2017.5.19)
AfterMidnight和Assassin – CIA的兩個惡意軟體框架,針對Windows平台,能夠監控、回感測染主機的操作並且執行惡意代碼(2017.5.12)
Archimedes – 區域網內進行中間人攻擊的工具(2017.5.5)
Scribbles – 一款將web beacons加入加密文檔的工具,以便CIA黑客追蹤泄密者(2017.4.28)
Weeping Angel – 將智能電視的麥克風轉變為監控工具。利用此工具,CIA黑客能夠將打開居民家中的智能電視(而且是在用戶以為電視關閉的情況下),並竊聽人們的對話。(2017.4.21)
HIVE—— 多平台入侵植入和管理控制工具(2017.4.14)
Grasshopper – 一款框架,CIA用它來創建針對Windows的惡意軟體並且繞過殺毒軟體(2017.4.7)
Marble – 一款秘密反取證的框架,對惡意軟體的真實來源進行混淆(2017.3.31)
Dark Matter – 針對iPhone和Mac電腦的入侵工具(2017.3.23)
Year Zero – CIA針對硬體和軟體的漏洞利用工具
*參考來源:SecurityWeek,bleepingcomputer,AngelaY 編譯,轉載請註明來自 FreeBuf.COM
※新勒索軟體「Defray」可通過Microsoft Word文檔傳播
※特別企劃 | 維基解密CIA泄露盤點:駭人聽聞的攻擊部門和全方位黑客工具
※Kali Linux下社工密碼字典生成工具Cupp和Cewl教程
TAG:FreeBuf |