維基解密剛剛公布了一批新的CIA Vault 7 資料,詳細說明了針對微軟Windows平臺的兩款CIA惡意軟件框架“午夜之后 (AfterMidnight)” 和 “刺客 (Assasin)”。
這兩款惡意軟件程序旨在監(jiān)控并返回針對運行Windows操作系統(tǒng)的受感染遠程主機計算機的攻擊并執(zhí)行由CIA指定的惡意行動。自從3月份起,維基解密已經(jīng)公開成千上萬份聲稱來自CIA的文檔和秘密黑客工具。目前公布的這批新文檔是第8彈。
“午夜之后”惡意軟件框架
維基解密發(fā)布一份聲明稱“午夜之后”惡意軟件框架能讓操作者在目標系統(tǒng)上動態(tài)加載并執(zhí)行惡意有效負載。這個惡意有效負載的主要控制器偽裝成自我持續(xù)的Windows DLL文件并執(zhí)行“小精靈”——即通過推翻目標軟件的功能、調(diào)查目標或為其它小精靈提供服務(wù)的仍然隱藏在目標設(shè)備上的小規(guī)模有效負載。
一旦被安裝到目標機器上,“午夜之后”就會使用一個基于HTTPS的LP系統(tǒng)即Octopus來檢查是否存在任何安排活動。如發(fā)現(xiàn),它就會在將所有新型小精靈加載到內(nèi)存之前下載并存儲所有所需組件。最新泄露文檔中的一份用戶指南顯示,跟“午夜之后”相關(guān)的本地存儲是通過未存儲在目標機器上的密鑰加密的。
一個特殊的有效負載“阿爾法小精靈”包含一種自定義腳本語言,甚至允許操作者安排將在目標系統(tǒng)上執(zhí)行的自定義任務(wù)。
“刺客”惡意軟件框架
“刺客”跟“午夜之后”類似,被描述為“一種自動化植入,為運行微軟Windows操作系統(tǒng)的遠程計算機提供簡單的采集平臺”。一旦被安裝到目標計算機上,它就會在一個Windows服務(wù)進程中運行植入,能讓操作者在受感染設(shè)備上執(zhí)行惡意任務(wù),跟“午夜之后”如出一轍。
“刺客”包含四種子系統(tǒng):植入、生成器、命令和控制和監(jiān)聽站。
“植入”在目標Windows機器上提供該工具的核心邏輯和功能,包括通信和任務(wù)執(zhí)行。它通過“生成器”配置并通過一些未定義向量部署到目標計算機上。
“生成器”在部署之前配置“植入”和“部署可執(zhí)行文件”,并且“提供一個自定義命令行界面,在生成植入之前設(shè)置植入配置”。
“命令和控制”子系統(tǒng)是操作者和監(jiān)聽站之間的界面,監(jiān)聽站能讓“刺客”植入通過一個網(wǎng)絡(luò)服務(wù)器跟命令和控制子系統(tǒng)通信。
上周,維基解密發(fā)布一種中間人攻擊工具“阿基米德”。
| 
