本周,維基解密宣布了新一款 CIA 對(duì)象 AngelFire。AngelFire 是一款框架植入對(duì)象,可以或許作為永遠(yuǎn)后門保存在被沾染體系的分區(qū)領(lǐng)導(dǎo)扇區(qū)中,對(duì)目的體系停止永遠(yuǎn)長(zhǎng)途節(jié)制。透露的用戶手冊(cè)表現(xiàn),AngelFire 必要得到治理員權(quán)限能力勝利入侵目的體系。
與此前的 Grasshopper、ELSA、 After Midnight 相似,AngelFire 也是一款永遠(yuǎn)性框架,可以或許在目的體系(Windows XP 與 Windows 7)中加載并履行定制的注入法式。
AngelFire 有五個(gè)組成部門:
1. Solartime — 改動(dòng)分區(qū)領(lǐng)導(dǎo)扇區(qū),讓體系每次加載領(lǐng)導(dǎo)裝備驅(qū)動(dòng)時(shí),能加載并履行 Wolfcreek (內(nèi)核代碼);
2. Wolfcreek — 主動(dòng)加載驅(qū)動(dòng)(即 Solartime 履行的內(nèi)核代碼),可以或許加載其余驅(qū)動(dòng)和用戶形式的利用;加載其余驅(qū)動(dòng)和利歷時(shí),就可以創(chuàng)立可以或許在被沾染機(jī)械上檢測(cè)到的內(nèi)存透露;
3. Keystone — Wolfcreek 的一部門,利用 DLL 注入功效,直接在體系內(nèi)存中履行歹意用戶利用,無需將歹意法式存儲(chǔ)進(jìn)文件體系。創(chuàng)立的過程被命名為 svchost.exe,且一切的內(nèi)容都是持續(xù)的,包含 svchost.exe 實(shí)例(如圖片門路和父過程等)。
4. BadMFS — 在運(yùn)動(dòng)分區(qū)開頭(新版本BadMFS中會(huì)利用硬盤中的某個(gè)文件)創(chuàng)立暗藏的文件體系,存儲(chǔ) Wolfcreek 啟動(dòng)的一切驅(qū)動(dòng)法式和植入法式;一切這些文件都經(jīng)過了混雜和加密防止經(jīng)由過程字符串和PE頭掃描特性;
5. Windows Transitory File system — 用于裝置 AngelFire,可作為 BadMFS 的代替辦法。CIA 間諜可利用這個(gè)辦法創(chuàng)立一些暫時(shí)文件,而不消像BadMFS同樣把他們存在隱藏的文件體系中。這些文件能夠是履行各類操縱必要的文件,好比裝置、向 AngelFire 增加文件、從 AngelFire 移除文件等。這些暫時(shí)文件存在 “UserInstallApp”中。
文檔表現(xiàn), AngelFire 可以或許入侵 32 位的 Windows XP 和 Windows 7,和 64 位的 Windows Server 2008 R2 和 Windows 7。AngelFire 有兩個(gè)裝置版本:可履行的裝置版本和 fire-and-collect .dll 裝置版本。
事實(shí)上,與 CIA 其余入侵 Windows 體系的對(duì)象比擬,AngelFire 有一些不敷。比方,一些平安產(chǎn)物可以或許經(jīng)由過程名為 “zf”的文件檢測(cè)到 BadMFSB 文件體系;在 AngelFire 此中一個(gè)組件瓦解時(shí),用戶也能看到彈框正告。
別的, Keystone 組件利用 “C:\Windows\system32\svchost.exe” 過程作為假裝,然則,假如 Windows 體系門路存在于 D 盤等其余分區(qū),這個(gè)假裝過程就無奈停止對(duì)應(yīng)調(diào)劑;別的 Windows XP 體系并不支撐永遠(yuǎn) DLL 注入。
其余Vault 7 CIA對(duì)象
自本年3月7日開端,維基解密開端利用一個(gè)新的代號(hào) Vault 7 作為美國中情局(CIA)的敏感信息表露籌劃。依據(jù)維基解密的論述,這些透露的文件中包含了大批 0day,歹意軟件,病毒,木馬和相干文檔的高度秘密材料,在美國當(dāng)局黑客和承包商之間流傳,此中有人向維基解密提交了這份絕密檔案的部門內(nèi)容。
自名目開端以來,維基解密曾經(jīng)合計(jì)頒布了 24 批 Vault 7 系列文件:
AngelFire – 框架植入對(duì)象,對(duì)目的體系停止永遠(yuǎn)長(zhǎng)途節(jié)制(2017.08.31)
ExpressLane – 監(jiān)控包含 FBI、DHS 和 NSA 等在內(nèi)的諜報(bào)聯(lián)結(jié)機(jī)構(gòu)并匯集數(shù)據(jù)的對(duì)象(2017.08.25)
CouchPotato – 盜取RTSP/H.264視頻流對(duì)象(2017.8.10)
Dumbo – 用來封閉攝像頭監(jiān)控的對(duì)象(2017.8.3)
Imperial – 三款后門對(duì)象(2017.7.28)
UMBRAGE / Raytheon Blackbird – CIA 承包商 Raytheon Blackbird Technologies 為 UMBRAGE 名目供給的歹意法式具體剖析文檔 (2017.7.19)
HighRise – 攔阻 SMS 新聞并重定向至長(zhǎng)途 CIA 服務(wù)器的安卓歹意法式(2017.7.13)
BothanSpy & Gyrfalcon – 盜取 SSH 登錄憑據(jù)的對(duì)象(2017.7.6)
OutlawCountry – 入侵 Linux 體系的對(duì)象(2017.6.30)
ELSA - 可以或許對(duì) Windows 用戶實(shí)行定位的歹意軟件(2017.6.28)
Brutal Kangaroo – 針對(duì)企業(yè)或構(gòu)造中收集斷絕Windows主機(jī)的CIA對(duì)象。(2017.6.22)
Cherry Blossom – 一款可以或許長(zhǎng)途節(jié)制的基于固件的植入對(duì)象,利用Wifi裝備中的破綻監(jiān)控目的體系的收集運(yùn)動(dòng)(2017.6.15)
Pandemic – CIA用它吧Windows文件服務(wù)器釀成進(jìn)擊主機(jī),從而沾染局域網(wǎng)內(nèi)的其余主機(jī)(2017.6.1)
Athena – 一個(gè)間諜軟件框架,可以或許長(zhǎng)途節(jié)制沾染Windows主機(jī),并且支撐一切Windows操縱體系,從Windows XP到Windows 10。(2017.5.19)
AfterMidnight和Assassin – CIA的兩個(gè)歹意軟件框架,針對(duì)Windows平臺(tái),可以或許監(jiān)控、回傳沾染主機(jī)的操縱并且履行歹意代碼(2017.5.12)
Archimedes – 局域網(wǎng)內(nèi)停止中間人進(jìn)擊的對(duì)象(2017.5.5)
Scribbles – 一款將web beacons參加加密文檔的對(duì)象,以便CIA黑客追蹤泄密者(2017.4.28)
Weeping Angel – 將智能電視的話筒轉(zhuǎn)釀成監(jiān)控對(duì)象。利用此對(duì)象,CIA黑客可以或許將打開居民家中的智能電視(并且是在用戶認(rèn)為電視封閉的情況下),并竊聽人們的對(duì)話。(2017.4.21)
HIVE—— 多平臺(tái)入侵植入和治理節(jié)制對(duì)象(2017.4.14)
Grasshopper – 一款框架,CIA用它來創(chuàng)立針對(duì)Windows的歹意軟件并且繞過殺毒軟件(2017.4.7)
Marble – 一款秘密反取證的框架,對(duì)歹意軟件的實(shí)在起源停止混雜(2017.3.31)
Dark Matter – 針對(duì)iPhone和Mac電腦的入侵對(duì)象(2017.3.23)
Year Zero – CIA針對(duì)硬件和軟件的破綻利用對(duì)象
| 
