當整個世界都在忙于應對 WannaCry惡意軟件之時，維基解密發布了CIA Vault 7工具包中新的一批文件，詳細披露了針對Winodws平臺上的兩個惡意軟件框架——AfterMidnight以及Assassin。
早在2017年3月7日，維基解密就披露了成千上萬個來自CIA的文件及秘密黑客工具，維基解密稱之為Vault 7。這被認為是CIA史上最大規模的機密文檔泄露。
而本次5月中旬最新的文件披露，已經是Vault 7系列中的第八次文件披露。這次公布的AfterMidnight以及Assassin均屬于CIA惡意軟件框架。它會在受感染的計算機上監控并匯報用戶行為，再由遠程主機執行惡意行為。
AfterMidnight 惡意程序框架
維基解密在文件中稱，攻擊者會使用AfterMidnight在目標系統上進行動態載入，然后執行惡意payload。
惡意payload中的主控制模塊，會偽裝成Windows動態鏈接庫文件（DLL），執行Gremlins（小精靈）操作（這里的gremlins是個術語，指的是一種隱藏在目標計算機中的payload）。它會檢測、破壞目標軟件的功能，或者為其他gremlins提供服務。
目標設備一旦安裝了AfterMidnight，就會使用Octopus來檢查預定事項（Octopus是一種基于HTTPS的LP服務）。系統如果在檢測時發現了新的預定事項，AfterMidnight就會自動下載并存儲所有必要的組件，然后再在內存中載入這些新的gremlins。

AfterMidnight是一個偽裝成Windows服務的動態鏈接庫。它通過基于HTTPS的LP服務進行Gremlins操作。目標設備上安裝了AfterMidnight后，會在配置設置下調用配置好的LP服務，然后檢查是否有新的計劃需要執行。如果有新的計劃，它就會下載并存儲所有需要的組件到本地，然后載入到內存中。所有的存儲文件都以一個LP密鑰加密保存。而這個密鑰保存在遠程計算機上，如果AfterMidnight無法與LP進行連接，則無法執行任何payload。
最新披露的用戶指南中也指出，AfterMidnight的文件密鑰保存在其他地方。程序中有一個叫做AlphaGremlin的特殊模塊。AlphaGremlin中包括了一種特別的腳本語言，可以讓使用者在目標設備上設定自定義的任務，然后遠程執行這些惡意操作。

Assassin 惡意程序框架
Assassin 類似于AfterMidnight ，可以理解為針對微軟Windows操作系統的自動植入軟件。它為攻擊方提供了遠程數據收集的平臺。Assassin 安裝在目標計算機上后，這個工具會在Windows服務進程中運行植入程序，允許攻擊者在目標設備上運行惡意任務，整體作用與AfterMidnight非常類似。
Assassin中總共包含了四個子系統：分別是implant, Builder, Command and Control以及Listening Post。
Implant子系統中具有該工具的核心邏輯及功能部分，如通訊功能和任務執行功能。通過Builder可以對此進行配置并部署在目標計算機上。
Builder子系統則是對植入及部署可執行文件之前，提供了一個定制化的命令行界面，這樣在植入操作執行之前可以先設定植入的相關配置。
Command and Control子系統則像是操作和 Listening Post (LP)之間的接口，LP來允許Assassin Implant與Command and Control子系統通過web服務器進行通訊。

披露的后果與影響？
上周，維基解密也放出一個中間人攻擊工具Archimedes，該工具據稱是CIA用來攻擊LAN網絡中計算機的。
美國情報機構試圖隱藏并獨占漏洞，而不是公布于眾。而在過去的三天內，利用一個月前Shadow Brokers泄露的漏洞利用工具的惡意軟件WannaCry猛烈席卷全球超過150個國家和地區。
微軟Brad Smith譴責美國情報機構的這種做法，他們將此次事件評價為“影響廣泛的危害事件”，而WannaCry事件發生的本質原因還是在于NSA，CIA和其他情報機構試圖獨占0day漏洞卻不愿意公布于眾。
2017年出現了一種新的態勢，我們看到CIA試圖獨占的漏洞被公布在維基解密上，現在這個威脅已經影響到世界各地的用戶。
也許是出于避免濫用的考慮，維基解密目前沒有公布任何exlpoit。近期發生的WannaCry事件應該已經驗證了公布情報機構的exploit可能會有的嚴重后果。
最后附上三月開始公開的Vault7系列文件，最新的文件披露如下所示：
• Year Zero：應對軟硬件入侵的CIA Exploit
• Weeping Angel ：侵入智能電視的間諜軟件
• Dark Matter：iPhone和Mac的入侵 Exploit
• Marble：混淆網絡攻擊的一款框架
• Grasshopper：為Windows系統構建定制化惡意軟件的平臺
• Scribbles ：文檔水印預處理系統，用以追蹤告密者及國外間諜的軟件。