首页 | 电脑 | 安全 | 安全工具

维基解密披露CIA恶意软件框架中的新工具:AfterMidnight与Assassin

2017年05月18日 原文

维基解密披露CIA恶意软件框架中的新工具:AfterMidnight与Assassin。当整个世界都在忙于应对 WannaCry恶意软件之时,维基解密发布了CIA Vault 7工具包中新的一批文件,详细披露了针对Winodws平台上的两个恶意软件框架——AfterMidnight以及Assassin。

早在2017年3月7日,维基解密就披露了成千上万个来自CIA的文件及秘密黑客工具,维基解密称之为Vault 7。这被认为是CIA史上最大规模的机密文档泄露。

而本次5月中旬最新的文件披露,已经是Vault 7系列中的第八次文件披露。这次公布的AfterMidnight以及Assassin均属于CIA恶意软件框架。它会在受感染的计算机上监控并汇报用户行为,再由远程主机执行恶意行为。

AfterMidnight 恶意程序框架

维基解密在文件中称,攻击者会使用AfterMidnight在目标系统上进行动态载入,然后执行恶意payload。

恶意payload中的主控制模块,会伪装成Windows动态链接库文件(DLL),执行Gremlins(小精灵)操作(这里的gremlins是个术语,指的是一种隐藏在目标计算机中的payload)。它会检测、破坏目标软件的功能,或者为其他gremlins提供服务。

目标设备一旦安装了AfterMidnight,就会使用Octopus来检查预定事项(Octopus是一种基于HTTPS的LP服务)。系统如果在检测时发现了新的预定事项,AfterMidnight就会自动下载并存储所有必要的组件,然后再在内存中载入这些新的gremlins。

AfterMidnight是一个伪装成Windows服务的动态链接库。它通过基于HTTPS的LP服务进行Gremlins操作。目标设备上安装了AfterMidnight后,会在配置设置下调用配置好的LP服务,然后检查是否有新的计划需要执行。如果有新的计划,它就会下载并存储所有需要的组件到本地,然后载入到内存中。所有的存储文件都以一个LP密钥加密保存。而这个密钥保存在远程计算机上,如果AfterMidnight无法与LP进行连接,则无法执行任何payload。

最新披露的用户指南中也指出,AfterMidnight的文件密钥保存在其他地方。程序中有一个叫做AlphaGremlin的特殊模块。AlphaGremlin中包括了一种特别的脚本语言,可以让使用者在目标设备上设定自定义的任务,然后远程执行这些恶意操作。

Assassin 恶意程序框架

Assassin 类似于AfterMidnight ,可以理解为针对微软Windows操作系统的自动植入软件。它为攻击方提供了远程数据收集的平台。Assassin 安装在目标计算机上后,这个工具会在Windows服务进程中运行植入程序,允许攻击者在目标设备上运行恶意任务,整体作用与AfterMidnight非常类似。

Assassin中总共包含了四个子系统:分别是implant, Builder, Command and Control以及Listening Post。

Implant子系统中具有该工具的核心逻辑及功能部分,如通讯功能和任务执行功能。通过Builder可以对此进行配置并部署在目标计算机上。

Builder子系统则是对植入及部署可执行文件之前,提供了一个定制化的命令行界面,这样在植入操作执行之前可以先设定植入的相关配置。

Command and Control子系统则像是操作和 Listening Post (LP)之间的接口,LP来允许Assassin Implant与Command and Control子系统通过web服务器进行通讯。

披露的后果与影响?

上周,维基解密也放出一个中间人攻击工具Archimedes,该工具据称是CIA用来攻击LAN网络中计算机的。

美国情报机构试图隐藏并独占漏洞,而不是公布于众。而在过去的三天内,利用一个月前Shadow Brokers泄露的漏洞利用工具的恶意软件WannaCry猛烈席卷全球超过150个国家和地区。

微软Brad Smith谴责美国情报机构的这种做法,他们将此次事件评价为“影响广泛的危害事件”,而WannaCry事件发生的本质原因还是在于NSA,CIA和其他情报机构试图独占0day漏洞却不愿意公布于众。

2017年出现了一种新的态势,我们看到CIA试图独占的漏洞被公布在维基解密上,现在这个威胁已经影响到世界各地的用户。

也许是出于避免滥用的考虑,维基解密目前没有公布任何exlpoit。近期发生的WannaCry事件应该已经验证了公布情报机构的exploit可能会有的严重后果。

最后附上三月开始公开的Vault7系列文件,最新的文件披露如下所示:

• Year Zero:应对软硬件入侵的CIA Exploit

• Weeping Angel :侵入智能电视的间谍软件

• Dark Matter:iPhone和Mac的入侵 Exploit

• Marble:混淆网络攻击的一款框架

• Grasshopper:为Windows系统构建定制化恶意软件的平台

• Scribbles :文档水印预处理系统,用以追踪告密者及国外间谍的软件。

相关链接