当全球忙于应对自动传播的WannaCry勒索软件所带来的威胁时 ,维基解密发布了“Vault 7”(第七号保险库)的新一轮中央情报局(CIA)机密信息,详细介绍了CIA明显针对微软的Windows平台的恶意软件框架。
这两个恶意软件框架名为“AfterMidnight”(“午夜之后”)和“Assassin”(“暗杀者”),主要用于监控和上报运行Windows操作系统的受感染远程计算机上的行动,并执行CIA下达的恶意行动。
自三月以来,维基解密已发布几十万份文档和机密的黑客工具,并宣称这些文档和工具来自CIA。本轮信息是该组织的“Vault 7”系列的一部分,为该系列的第八次机密信息发布。
“午夜之后”恶意软件框架
维基解密发布了声明,宣称“午夜之后”允许操作员在目标系统上动态加载并执行恶意负载。
恶意负载的主控制器,伪装成自动保持运行的Windows动态链接库(DLL)文件,并执行Gremlins。Gremlins是隐藏在目标机器上的小负载,破坏目标软件的功能,对目标进行勘测或为其它Gremlins提供服务。
“午夜之后”在目标机器上安装后,利用名为“Octopus”的HTTPS监听站系统,检查是有预计事件发生。若有预计事件发生,恶意软件框架下载并存储所有所需组件,然后在内存中加载所有新Gremlins。
最新披露的机密信息提供的用户手册表明,“午夜之后”相关的本地存储已加密,而加密密钥并不存储在目标机器上。名为“AlphaGremlin”的特殊负载包含一种自定义脚本语言,可使操作员调度目标系统上执行的自定义任务。
“暗杀者”恶意软件框架
“暗杀者”是一种类似于“午夜之后”的自动植入的恶意软件,在运行Windows系统的远程计算机上提供一个简单采集平台。该工具在目标计算机上安装后,在Windows服务进程中自动运行植入的软件,可使操作员在受感染的机器上执行恶意任务,这一过程与“午夜之后”相同。
“暗杀者”包含四个子系统:植入软件、生成器、命令与控制(C&C)以及监听站。
植入的软件为目标Windows机器上的该工具提供核心逻辑和功能,包括通信和任务执行。该植入的软件通过生成器进行配置,通过一些未定义向量在目标计算机上部署。
部署前,生成器配置植入的软件和部署相关的可执行文件。该工具的用户手册描述道,生成器“提供用于设置植入软件配置的自定义命令行接口,然后生成植入的软件。”
C&C子系统作为操作员与监听站的接口,监听站允许“暗杀者”植入软件通过web服务器与C&C子系统通信。上周,维基解密爆出一款名为“Archimedes”(阿基米德)的中间人(MitM)攻击工具,宣称该工具由CIA创建,用于攻击局域网中的计算机。
美国情报机构发现漏洞后不上报受影响厂商这一做法在最近三天引发了全球范围的混乱。这几天,WannaCry勒索软件利用SMB漏洞攻击了全球150多个国家的计算机,而国家安全局此前已发现了该SMB而未通报。然而,“影子经纪人”(Shadow Brokers)黑客组织一个月前就已披露了国家安全局发现SMB漏洞这一事件。
微软严厉谴责国家安全局在WannaCry攻击中所扮演的角色
甚至是微软总裁Brad Smith也谴责了美国情报局这一做法,表示由于国家安全局、CIA和其他情报机构对发现的零日漏洞未作披露,导致WannaCry攻击带来广泛损害。Smith说,
“这是2017年的一种新模式。我们在维基解密上看到了CIA未披露的漏洞,而国家安全局发现的该漏洞也由于未及时上报而影响了全球用户。”
自三月以来,维基解密已经发布了八次Vault 7系列文件。这一系列文件除上周的最新披露信息,还包括以下内容:
- “元年”(Year Zero):揭示CIA用于入侵主流硬件和软件的恶意程序。
- “哭泣天使”(Weeping Angel):揭示一种间谍工具,可使CIA入侵智能电视,将其变成隐蔽的麦克风。
- “暗物质”(Dark Matter):揭示CIA为入侵iPhone手机和Mac电脑而创建的恶意程序。
- “玻璃球”(Marble):揭示秘密的反取证框架的源代码。该框架是一种混淆器或打包工具,由CIA用于隐藏其恶意软件的真实来源。
- “蚱蜢”(Grasshopper):揭示一种可使CIA很容易地创建入侵微软Windows系统,绕过其防病毒措施的框架。
- “涂鸦”(Scribble):揭示一种宣称用于将“网络信标”嵌入机密文档,允许间谍机构跟踪知情人和检举者的软件。
原文发布时间:2017年5月17日
本文由:HackerNews 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/cia-vault-7-aftermidnight-assassin#
本文来自合作伙伴安全加,了解相关信息可以关注安全加网站