产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
本周,维基解密发布了新一款 cia 工具 angelfire。angelfire 是一款框架植入工具,可以作为永久后门留存在被感染系统的分区引导扇区中,对目标系统进行永久远程控制。泄露的用户手册显示,angelfire 需要获得管理员权限才能成功入侵目标系统。
与此前的 grasshopper、elsa、 after midnight 类似,angelfire 也是一款永久性框架,可以在目标系统(windows xp 与 windows 7)中加载并执行定制的注入程序。
angelfire 有五个组成部分:
1. solartime — 修改分区引导扇区,让系统每次加载引导设备驱动时,能加载并执行 wolfcreek (内核代码);
2. wolfcreek — 自动加载驱动(即 solartime 执行的内核代码),可以加载其他驱动和用户模式的应用;加载其他驱动和应用时,就能创建可以在被感染机器上检测到的内存泄漏;
3. keystone — wolfcreek 的一部分,利用 dll 注入功能,直接在系统内存中执行恶意用户应用,无需将恶意程序存储进文件系统。创建的进程被命名为 svchost.exe,且所有的内容都是连续的,包含 svchost.exe 实例(如图片路径和父进程等)。
4. badmfs — 在活动分区结尾(新版本badmfs中会使用硬盘中的某个文件)创建隐藏的文件系统,存储 wolfcreek 启动的所有驱动程序和植入程序;所有这些文件都经过了混淆和加密避免通过字符串和pe头扫描特征;
5. windows transitory file system — 用于安装 angelfire,可作为 badmfs 的替代方法。cia 特工可利用这个方法创建一些临时文件,而不用像badmfs一样把他们存在隐蔽的文件系统中。这些文件可能是执行各种操作需要的文件,比如安装、向 angelfire 添加文件、从 angelfire 移除文件等。这些临时文件存在 “userinstallapp”中。
文档显示, angelfire 可以入侵 32 位的 windows xp 和 windows 7,以及 64 位的 windows server 2008 r2 和 windows 7。angelfire 有两个安装版本:可执行的安装版本和 fire-and-collect .dll 安装版本。
事实上,与 cia 其他入侵 windows 系统的工具相比,angelfire 有一些不足。例如,一些安全产品可以通过名为 “zf”的文件检测到 badmfsb 文件系统;在 angelfire 其中一个组件崩溃时,用户也能看到弹框警告。
此外, keystone 组件利用 “c:\windows\system32\svchost.exe” 进程作为伪装,但是,如果 windows 系统路径存在于 d 盘等其他分区,这个伪装进程就无法进行对应调整;此外 windows xp 系统并不支持永久 dll 注入。
其他vault 7 cia工具
自今年3月7日开始,维基解密开始使用一个新的代号 vault 7 作为美国中情局(cia)的敏感信息披露计划。根据维基解密的阐述,这些泄露的文件中包含了大量 0day,恶意软件,病毒,木马以及相关文档的高度机密资料,在美国政府黑客和承包商之间传播,其中有人向维基解密提交了这份绝密档案的部分内容。
自项目开始以来,维基解密已经共计公布了 24 批 vault 7 系列文件:
angelfire – 框架植入工具,对目标系统进行永久远程控制(2017.08.31)
expresslane – 监控包括 fbi、dhs 和 nsa 等在内的情报联络机构并搜集数据的工具(2017.08.25)
couchpotato – 窃取rtsp/h.264视频流工具(2017.8.10)
dumbo – 用来关闭摄像头监控的工具(2017.8.3)
imperial – 三款后门工具(2017.7.28)
umbrage / raytheon blackbird – cia 承包商 raytheon blackbird technologies 为 umbrage 项目提供的恶意程序详细解析文档 (2017.7.19)
highrise – 拦截 sms 消息并重定向至远程 cia 服务器的安卓恶意程序(2017.7.13)
bothanspy & gyrfalcon – 窃取 ssh 登录凭证的工具(2017.7.6)
outlawcountry – 入侵 linux 系统的工具(2017.6.30)
elsa - 可以对 windows 用户实施定位的恶意软件(2017.6.28)
brutal kangaroo – 针对企业或组织中网络隔离windows主机的cia工具。(2017.6.22)
cherry blossom – 一款能够远程控制的基于固件的植入工具,利用wifi设备中的漏洞监控目标系统的网络活动(2017.6.15)
pandemic – cia用它吧windows文件服务器变成攻击主机,从而感染局域网内的其他主机(2017.6.1)
athena – 一个间谍软件框架,能够远程控制感染windows主机,并且支持所有windows操作系统,从windows xp到windows 10。(2017.5.19)
aftermidnight和assassin – cia的两个恶意软件框架,针对windows平台,能够监控、回传感染主机的操作并且执行恶意代码(2017.5.12)
archimedes – 局域网内进行中间人攻击的工具(2017.5.5)
scribbles – 一款将web beacons加入加密文档的工具,以便cia黑客追踪泄密者(2017.4.28)
weeping angel – 将智能电视的麦克风转变为监控工具。利用此工具,cia黑客能够将打开居民家中的智能电视(而且是在用户以为电视关闭的情况下),并窃听人们的对话。(2017.4.21)
hive—— 多平台入侵植入和管理控制工具(2017.4.14)
grasshopper – 一款框架,cia用它来创建针对windows的恶意软件并且绕过杀毒软件(2017.4.7)
marble – 一款秘密反取证的框架,对恶意软件的真实来源进行混淆(2017.3.31)
dark matter – 针对iphone和mac电脑的入侵工具(2017.3.23)
year zero – cia针对硬件和软件的漏洞利用工具
试用申请
