維基解密揭露“午夜后”和“刺客”CIA Windows惡意軟件框架
被稱為“午夜后“和”莎辛那“這兩個惡意軟件程序的設計目的都是監視和報告運行Windows操作系統的受感染遠程主機上的操作,并執行CIA指定的惡意操作。
自今年3月以來,維基解密發布了數十萬份文件和秘密黑客工具,該組織聲稱這些文件和工具來自美國中央情報局(CIA)。
最新一批是泄密組織“Vault 7”系列的第8版。
“午夜后”惡意軟件框架
根據維基解密的一份聲明,“午夜后”允許其運營商在目標系統上動態加載和執行惡意負載。
惡意負載的主控制器偽裝成一個自持久的Windows動態鏈接庫(DLL)文件,并執行“小精靈”通過破壞目標軟件的功能、監視目標或為其他小精靈提供服務而隱藏在目標機器上的小有效載荷。
一旦安裝在目標機器上,AfterMidnight將使用一個名為“Octopus”的基于HTTPS的監聽帖子(LP)系統來檢查任何預定事件。如果找到一個,惡意軟件框架將下載并存儲所有必需的組件,然后將所有新的小精靈加載到內存中。
根據最新泄密中提供的用戶指南,與午夜后相關的本地存儲使用未存儲在目標機器上的密鑰進行加密。
一種特殊的有效載荷,叫做“字母精靈“包含一種自定義腳本語言,它甚至允許操作員計劃在目標系統上執行的自定義任務。
“刺客”惡意軟件框架
《刺客》也類似于《午夜后》,被描述為“一種自動植入,在運行Microsoft Windows操作系統的遠程計算機上提供一個簡單的收集平臺”。
一旦安裝到目標計算機上,該工具將在Windows服務進程中運行植入,允許操作員在受感染的機器上執行惡意任務,就像午夜后一樣。
刺客由四個子系統組成:植入器、構建器、指揮控制和監聽站。
“植入”在目標Windows機器上提供了該工具的核心邏輯和功能,包括通信和任務執行。它使用“構建器”進行配置,并通過一些未定義的向量部署到目標計算機。
“構建器”在部署和部署之前配置植入和“部署可執行文件”提供自定義命令行界面,用于在生成植入之前設置植入配置閱讀工具的用戶指南。
“指揮和控制”子系統充當操作員和監聽站(LP)之間的接口,而LP允許刺客植入通過web服務器與指揮和控制子系統通信。
上周,維基解密拋棄了一個名為“中間人”的攻擊工具阿基米德,據稱是由中央情報局創建的,目的是針對局域網(LAN)內的計算機。
美國情報機構持有漏洞的做法,而不是向受影響的供應商披露漏洞,在過去3天里在全世界造成了嚴重破壞,當時WannaCry勒索軟件使用NSA發現并持有的SMB漏洞攻擊了150個國家的計算機,但《影子經紀人》隨后在一個多月前泄露了此事。
微軟抨擊NSA在“WannaCry”攻擊中的作用
就連微軟總裁布拉德·史密斯(Brad Smith)也譴責了美國情報局的做法,稱WannaCry造成的“廣泛損害”是因為NSA、CIA和其他情報機構持有零日安全漏洞。史密斯說:“這是2017年出現的一種模式。我們已經看到中情局存儲的漏洞出現在維基解密上,現在這個從NSA竊取的漏洞已經影響到世界各地的客戶”。
自3月以來,泄密組織已發布了8批“Vault 7”系列,其中包括最新和上周的泄密,以及以下批次:
- 零年– 拋棄了中情局對流行硬件和軟件的黑客攻擊。
- 哭泣天使– 該機構用來滲透智能電視的間諜工具,將其轉化為隱蔽的麥克風。
- 暗物質– 專注于針對iPhone和Mac的黑客攻擊。
- 大理石– 揭露了一個秘密反取證框架的源代碼,基本上是一個模糊器或包裝器,CIA用來隱藏其惡意軟件的實際來源。
- 蝗蟲– 展示一個框架,該框架允許該機構輕松創建自定義惡意軟件,以侵入微軟的Windows并繞過防病毒保護。
- 涂鴉– 一款據稱旨在將“網絡信標”嵌入機密文件的軟件,允許間諜機構追蹤內幕人士和告密者。
