本周,維基解密發(fā)布了新一款 CIA 工具 AngelFire。AngelFire 是一款框架植入工具,可以作為永久后門留存在被感染系統(tǒng)的分區(qū)引導(dǎo)扇區(qū)中,對(duì)目標(biāo)系統(tǒng)進(jìn)行永久遠(yuǎn)程控制。泄露的用戶手冊(cè)顯示,AngelFire 需要獲得管理員權(quán)限才能成功入侵目標(biāo)系統(tǒng)。
與此前的 Grasshopper、ELSA、 After Midnight 類似,AngelFire 也是一款永久性框架,可以在目標(biāo)系統(tǒng)(Windows XP 與 Windows 7)中加載并執(zhí)行定制的注入程序。
AngelFire 有五個(gè)組成部分:
1. Solartime — 修改分區(qū)引導(dǎo)扇區(qū),讓系統(tǒng)每次加載引導(dǎo)設(shè)備驅(qū)動(dòng)時(shí),能加載并執(zhí)行 Wolfcreek (內(nèi)核代碼);
2. Wolfcreek — 自動(dòng)加載驅(qū)動(dòng)(即 Solartime 執(zhí)行的內(nèi)核代碼),可以加載其他驅(qū)動(dòng)和用戶模式的應(yīng)用;加載其他驅(qū)動(dòng)和應(yīng)用時(shí),就能創(chuàng)建可以在被感染機(jī)器上檢測(cè)到的內(nèi)存泄漏;
3. Keystone — Wolfcreek 的一部分,利用 DLL 注入功能,直接在系統(tǒng)內(nèi)存中執(zhí)行惡意用戶應(yīng)用,無(wú)需將惡意程序存儲(chǔ)進(jìn)文件系統(tǒng)。創(chuàng)建的進(jìn)程被命名為 svchost.exe,且所有的內(nèi)容都是連續(xù)的,包含 svchost.exe 實(shí)例(如圖片路徑和父進(jìn)程等)。
4. BadMFS — 在活動(dòng)分區(qū)結(jié)尾(新版本BadMFS中會(huì)使用硬盤中的某個(gè)文件)創(chuàng)建隱藏的文件系統(tǒng),存儲(chǔ) Wolfcreek 啟動(dòng)的所有驅(qū)動(dòng)程序和植入程序;所有這些文件都經(jīng)過(guò)了混淆和加密避免通過(guò)字符串和PE頭掃描特征;
5. Windows Transitory File system — 用于安裝 AngelFire,可作為 BadMFS 的替代方法。CIA 特工可利用這個(gè)方法創(chuàng)建一些臨時(shí)文件,而不用像BadMFS一樣把他們存在隱蔽的文件系統(tǒng)中。這些文件可能是執(zhí)行各種操作需要的文件,比如安裝、向 AngelFire 添加文件、從 AngelFire 移除文件等。這些臨時(shí)文件存在 “UserInstallApp”中。文檔顯示, AngelFire 可以入侵 32 位的 Windows XP 和 Windows 7,以及 64 位的 Windows Server 2008 R2 和 Windows 7。AngelFire 有兩個(gè)安裝版本:可執(zhí)行的安裝版本和 fire-and-collect .dll 安裝版本。
事實(shí)上,與 CIA 其他入侵 Windows 系統(tǒng)的工具相比,AngelFire 有一些不足。例如,一些安全產(chǎn)品可以通過(guò)名為 “zf”的文件檢測(cè)到 BadMFSB 文件系統(tǒng);在 AngelFire 其中一個(gè)組件崩潰時(shí),用戶也能看到彈框警告。
此外, Keystone 組件利用 “C:\Windows\system32\svchost.exe” 進(jìn)程作為偽裝,但是,如果 Windows 系統(tǒng)路徑存在于 D 盤等其他分區(qū),這個(gè)偽裝進(jìn)程就無(wú)法進(jìn)行對(duì)應(yīng)調(diào)整;此外 Windows XP 系統(tǒng)并不支持永久 DLL 注入。
其他Vault 7 CIA工具
自今年3月7日開(kāi)始,維基解密開(kāi)始使用一個(gè)新的代號(hào) Vault 7 作為美國(guó)中情局(CIA)的敏感信息披露計(jì)劃。根據(jù)維基解密的闡述,這些泄露的文件中包含了大量 0day,惡意軟件,病毒,木馬以及相關(guān)文檔的高度機(jī)密資料,在美國(guó)政府黑客和承包商之間傳播,其中有人向維基解密提交了這份絕密檔案的部分內(nèi)容。
自項(xiàng)目開(kāi)始以來(lái),維基解密已經(jīng)共計(jì)公布了 24 批 Vault 7 系列文件:
AngelFire – 框架植入工具,對(duì)目標(biāo)系統(tǒng)進(jìn)行永久遠(yuǎn)程控制(2017.08.31)
ExpressLane – 監(jiān)控包括 FBI、DHS 和 NSA 等在內(nèi)的情報(bào)聯(lián)絡(luò)機(jī)構(gòu)并搜集數(shù)據(jù)的工具(2017.08.25)
CouchPotato – 竊取RTSP/H.264視頻流工具(2017.8.10)
Dumbo – 用來(lái)關(guān)閉攝像頭監(jiān)控的工具(2017.8.3)
Imperial – 三款后門工具(2017.7.28)
UMBRAGE / Raytheon Blackbird – CIA 承包商 Raytheon Blackbird Technologies 為 UMBRAGE 項(xiàng)目提供的惡意程序詳細(xì)解析文檔 (2017.7.19)
HighRise – 攔截 SMS 消息并重定向至遠(yuǎn)程 CIA 服務(wù)器的安卓惡意程序(2017.7.13)
BothanSpy & Gyrfalcon – 竊取 SSH 登錄憑證的工具(2017.7.6)
OutlawCountry – 入侵 Linux 系統(tǒng)的工具(2017.6.30)
ELSA - 可以對(duì) Windows 用戶實(shí)施定位的惡意軟件(2017.6.28)
Brutal Kangaroo – 針對(duì)企業(yè)或組織中網(wǎng)絡(luò)隔離Windows主機(jī)的CIA工具。(2017.6.22)
Cherry Blossom – 一款能夠遠(yuǎn)程控制的基于固件的植入工具,利用Wifi設(shè)備中的漏洞監(jiān)控目標(biāo)系統(tǒng)的網(wǎng)絡(luò)活動(dòng)(2017.6.15)
Pandemic – CIA用它吧Windows文件服務(wù)器變成攻擊主機(jī),從而感染局域網(wǎng)內(nèi)的其他主機(jī)(2017.6.1)
Athena – 一個(gè)間諜軟件框架,能夠遠(yuǎn)程控制感染W(wǎng)indows主機(jī),并且支持所有Windows操作系統(tǒng),從Windows XP到Windows 10。(2017.5.19)
AfterMidnight和Assassin – CIA的兩個(gè)惡意軟件框架,針對(duì)Windows平臺(tái),能夠監(jiān)控、回傳感染主機(jī)的操作并且執(zhí)行惡意代碼(2017.5.12)
Archimedes – 局域網(wǎng)內(nèi)進(jìn)行中間人攻擊的工具(2017.5.5)
Scribbles – 一款將web beacons加入加密文檔的工具,以便CIA黑客追蹤泄密者(2017.4.28)
Weeping Angel – 將智能電視的麥克風(fēng)轉(zhuǎn)變?yōu)楸O(jiān)控工具。利用此工具,CIA黑客能夠?qū)⒋蜷_(kāi)居民家中的智能電視(而且是在用戶以為電視關(guān)閉的情況下),并竊聽(tīng)人們的對(duì)話。(2017.4.21)
HIVE—— 多平臺(tái)入侵植入和管理控制工具(2017.4.14)
Grasshopper – 一款框架,CIA用它來(lái)創(chuàng)建針對(duì)Windows的惡意軟件并且繞過(guò)殺毒軟件(2017.4.7)
Marble – 一款秘密反取證的框架,對(duì)惡意軟件的真實(shí)來(lái)源進(jìn)行混淆(2017.3.31)
Dark Matter – 針對(duì)iPhone和Mac電腦的入侵工具(2017.3.23)
Year Zero – CIA針對(duì)硬件和軟件的漏洞利用工具
- 消息稱去年全球IT支出超過(guò)5萬(wàn)億美元 數(shù)據(jù)中心系統(tǒng)支出大幅增加
- 2025年全球數(shù)據(jù)中心:數(shù)字基礎(chǔ)設(shè)施的演變
- 谷歌押注多模態(tài)AI,BigQuery湖倉(cāng)一體是核心支柱
- 數(shù)字化轉(zhuǎn)型支出將飆升:到2027年將達(dá)到4萬(wàn)億美元
- 量子與人工智能:數(shù)字化轉(zhuǎn)型的力量倍增器
- 華為OceanStor Dorado全閃存存儲(chǔ)榮獲CC認(rèn)證存儲(chǔ)設(shè)備最高認(rèn)證級(jí)別證書
- 2024年終盤點(diǎn) | 華為攜手伙伴共筑鯤鵬生態(tài),openEuler與openGauss雙星閃耀
- 特朗普宣布200億美元投資計(jì)劃,在美國(guó)多地建設(shè)數(shù)據(jù)中心
- 工信部:“點(diǎn)、鏈、網(wǎng)、面”體系化推進(jìn)算力網(wǎng)絡(luò)工作 持續(xù)提升算網(wǎng)綜合供給能力
- 2025年超融合基礎(chǔ)設(shè)施的4大趨勢(shì)
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。