午夜之後的暗殺者 維基解密又公布CIA的兩個Windows惡意軟體架構 主要用于監控及執行指令

這兩個惡意軟體架構名為“aftermidnight”（“午夜之後”）和“assassin”（“暗殺者”），主要用于監控和上報運作windows作業系統的受感染遠端計算機上的行動，并執行cia下達的惡意行動。

自三月以來，維基解密已釋出幾十萬份文檔和機密的黑客工具，并宣稱這些文檔和工具來自cia。本輪資訊是該組織的“vault 7”系列的一部分，為該系列的第八次機密資訊釋出。

維基解密釋出了聲明，宣稱“午夜之後”允許操作員在目标系統上動态加載并執行惡意負載。

惡意負載的主要制器，僞裝成自動保持運作的windows動态連結庫（dll）檔案，并執行gremlins。gremlins是隐藏在目标機器上的小負載，破壞目标軟體的功能，對目标進行勘測或為其它gremlins提供服務。

“午夜之後”在目标機器上安裝後，利用名為“octopus”的https監聽站系統，檢查是有預計事件發生。若有預計事件發生，惡意軟體架構下載下傳并存儲所有所需元件，然後在記憶體中加載所有新gremlins。

最新披露的機密資訊提供的使用者手冊表明，“午夜之後”相關的本地存儲已加密，而加密密鑰并不存儲在目标機器上。名為“alphagremlin”的特殊負載包含一種自定義腳本語言，可使操作員排程目标系統上執行的自定義任務。

“暗殺者”是一種類似于“午夜之後”的自動植入的惡意軟體，在運作windows系統的遠端計算機上提供一個簡單采集平台。該工具在目标計算機上安裝後，在windows服務程序中自動運作植入的軟體，可使操作員在受感染的機器上執行惡意任務，這一過程與“午夜之後”相同。

“暗殺者”包含四個子系統：植入軟體、生成器、指令與控制（c&c）以及監聽站。

植入的軟體為目标windows機器上的該工具提供核心邏輯和功能，包括通信和任務執行。該植入的軟體通過生成器進行配置，通過一些未定義向量在目标計算機上部署。

部署前，生成器配置植入的軟體和部署相關的可執行檔案。該工具的使用者手冊描述道，生成器“提供用于設定植入軟體配置的自定義指令行接口，然後生成植入的軟體。”

c&c子系統作為操作員與監聽站的接口，監聽站允許“暗殺者”植入軟體通過web伺服器與c&c子系統通信。上周，維基解密爆出一款名為“archimedes”（阿基米德）的中間人（mitm）攻擊工具，宣稱該工具由cia建立，用于攻擊區域網路中的計算機。

美國情報機構發現漏洞後不上報受影響廠商這一做法在最近三天引發了全球範圍的混亂。這幾天，wannacry勒索軟體利用smb漏洞攻擊了全球150多個國家的計算機，而國家安全局此前已發現了該smb而未通報。然而，“影子經紀人”（shadow brokers）黑客組織一個月前就已披露了國家安全局發現smb漏洞這一事件。

甚至是微軟總裁brad smith也譴責了美國情報局這一做法，表示由于國家安全局、cia和其他情報機構對發現的零日漏洞未作披露，導緻wannacry攻擊帶來廣泛損害。smith說，

“這是2017年的一種新模式。我們在維基解密上看到了cia未披露的漏洞，而國家安全局發現的該漏洞也由于未及時上報而影響了全球使用者。”

自三月以來，維基解密已經釋出了八次vault 7系列檔案。這一系列檔案除上周的最新披露資訊，還包括以下内容：

“元年”（year zero）：揭示cia用于入侵主流硬體和軟體的惡意程式。

<a href="http://toutiao.secjia.com/wikileaks-cia-document-dump" target="_blank">“哭泣天使”（weeping angel）：揭示一種間諜工具，可使cia入侵智能電視，将其變成隐蔽的麥克風。</a>

“暗物質”（dark matter）：揭示cia為入侵iphone手機和mac電腦而建立的惡意程式。

<a href="http://toutiao.secjia.com/cia-code-obfuscation-tools" target="_blank">“玻璃球”（marble）：揭示秘密的反驗證架構的源代碼。該架構是一種混淆器或打包工具，由cia用于隐藏其惡意軟體的真實來源。</a>

<a href="http://toutiao.secjia.com/wikileaks-releases-vault-7-grasshopper" target="_blank">“蚱蜢”（grasshopper）：揭示一種可使cia很容易地建立入侵微軟windows系統，繞過其防病毒措施的架構。</a>

“塗鴉”（scribble）：揭示一種宣稱用于将“網絡信标”嵌入機密文檔，允許間諜機構跟蹤知情人和檢舉者的軟體。

原文釋出時間：2017年5月17日

本文由：hackernews 釋出，版權歸屬于原作者

原文連結:http://toutiao.secjia.com/cia-vault-7-aftermidnight-assassin#

本文來自雲栖社群合作夥伴安全加，了解相關資訊可以關注安全加網站