當(dāng)整個世界都在忙于應(yīng)對 WannaCry惡意軟件之時，維基解密發(fā)布了CIA Vault 7工具包中新的一批文件，詳細(xì)披露了針對Winodws平臺上的兩個惡意軟件框架——AfterMidnight以及Assassin。
早在2017年3月7日，維基解密就披露了成千上萬個來自CIA的文件及秘密黑客工具，維基解密稱之為Vault 7。這被認(rèn)為是CIA史上最大規(guī)模的機(jī)密文檔泄露。
而本次5月中旬最新的文件披露，已經(jīng)是Vault 7系列中的第八次文件披露。這次公布的AfterMidnight以及Assassin均屬于CIA惡意軟件框架。它會在受感染的計算機(jī)上監(jiān)控并匯報用戶行為，再由遠(yuǎn)程主機(jī)執(zhí)行惡意行為。
AfterMidnight 惡意程序框架
維基解密在文件中稱，攻擊者會使用AfterMidnight在目標(biāo)系統(tǒng)上進(jìn)行動態(tài)載入，然后執(zhí)行惡意payload。
惡意payload中的主控制模塊，會偽裝成Windows動態(tài)鏈接庫文件（DLL），執(zhí)行Gremlins（小精靈）操作（這里的gremlins是個術(shù)語，指的是一種隱藏在目標(biāo)計算機(jī)中的payload）。它會檢測、破壞目標(biāo)軟件的功能，或者為其他gremlins提供服務(wù)。
目標(biāo)設(shè)備一旦安裝了AfterMidnight，就會使用Octopus來檢查預(yù)定事項（Octopus是一種基于HTTPS的LP服務(wù)）。系統(tǒng)如果在檢測時發(fā)現(xiàn)了新的預(yù)定事項，AfterMidnight就會自動下載并存儲所有必要的組件，然后再在內(nèi)存中載入這些新的gremlins。

AfterMidnight是一個偽裝成Windows服務(wù)的動態(tài)鏈接庫。它通過基于HTTPS的LP服務(wù)進(jìn)行Gremlins操作。目標(biāo)設(shè)備上安裝了AfterMidnight后，會在配置設(shè)置下調(diào)用配置好的LP服務(wù)，然后檢查是否有新的計劃需要執(zhí)行。如果有新的計劃，它就會下載并存儲所有需要的組件到本地，然后載入到內(nèi)存中。所有的存儲文件都以一個LP密鑰加密保存。而這個密鑰保存在遠(yuǎn)程計算機(jī)上，如果AfterMidnight無法與LP進(jìn)行連接，則無法執(zhí)行任何payload。
最新披露的用戶指南中也指出，AfterMidnight的文件密鑰保存在其他地方。程序中有一個叫做AlphaGremlin的特殊模塊。AlphaGremlin中包括了一種特別的腳本語言，可以讓使用者在目標(biāo)設(shè)備上設(shè)定自定義的任務(wù)，然后遠(yuǎn)程執(zhí)行這些惡意操作。

Assassin 惡意程序框架
Assassin 類似于AfterMidnight ，可以理解為針對微軟Windows操作系統(tǒng)的自動植入軟件。它為攻擊方提供了遠(yuǎn)程數(shù)據(jù)收集的平臺。Assassin 安裝在目標(biāo)計算機(jī)上后，這個工具會在Windows服務(wù)進(jìn)程中運(yùn)行植入程序，允許攻擊者在目標(biāo)設(shè)備上運(yùn)行惡意任務(wù)，整體作用與AfterMidnight非常類似。
Assassin中總共包含了四個子系統(tǒng)：分別是implant, Builder, Command and Control以及Listening Post。
Implant子系統(tǒng)中具有該工具的核心邏輯及功能部分，如通訊功能和任務(wù)執(zhí)行功能。通過Builder可以對此進(jìn)行配置并部署在目標(biāo)計算機(jī)上。
Builder子系統(tǒng)則是對植入及部署可執(zhí)行文件之前，提供了一個定制化的命令行界面，這樣在植入操作執(zhí)行之前可以先設(shè)定植入的相關(guān)配置。
Command and Control子系統(tǒng)則像是操作和 Listening Post (LP)之間的接口，LP來允許Assassin Implant與Command and Control子系統(tǒng)通過web服務(wù)器進(jìn)行通訊。

披露的后果與影響？
上周，維基解密也放出一個中間人攻擊工具Archimedes，該工具據(jù)稱是CIA用來攻擊LAN網(wǎng)絡(luò)中計算機(jī)的。
美國情報機(jī)構(gòu)試圖隱藏并獨占漏洞，而不是公布于眾。而在過去的三天內(nèi)，利用一個月前Shadow Brokers泄露的漏洞利用工具的惡意軟件WannaCry猛烈席卷全球超過150個國家和地區(qū)。
微軟Brad Smith譴責(zé)美國情報機(jī)構(gòu)的這種做法，他們將此次事件評價為“影響廣泛的危害事件”，而WannaCry事件發(fā)生的本質(zhì)原因還是在于NSA，CIA和其他情報機(jī)構(gòu)試圖獨占0day漏洞卻不愿意公布于眾。
2017年出現(xiàn)了一種新的態(tài)勢，我們看到CIA試圖獨占的漏洞被公布在維基解密上，現(xiàn)在這個威脅已經(jīng)影響到世界各地的用戶。
也許是出于避免濫用的考慮，維基解密目前沒有公布任何exlpoit。近期發(fā)生的WannaCry事件應(yīng)該已經(jīng)驗證了公布情報機(jī)構(gòu)的exploit可能會有的嚴(yán)重后果。
最后附上三月開始公開的Vault7系列文件，最新的文件披露如下所示：
• Year Zero：應(yīng)對軟硬件入侵的CIA Exploit
• Weeping Angel ：侵入智能電視的間諜軟件
• Dark Matter：iPhone和Mac的入侵 Exploit
• Marble：混淆網(wǎng)絡(luò)攻擊的一款框架
• Grasshopper：為Windows系統(tǒng)構(gòu)建定制化惡意軟件的平臺
• Scribbles ：文檔水印預(yù)處理系統(tǒng)，用以追蹤告密者及國外間諜的軟件。