新闻快讯
< >

CIA第22批Vault7文件:Angelfire专门用于感染Windows计算机设备的恶意软件框架

E安全9月1日讯 维基解密8月31日发布了CIA Angelfire项目的相关文档。此项目为一套恶意软件框架,专门用于感染Windows计算机设备。

CIA第22批Vault7文件:专门用于感染Windows计算机设备的恶意软件框架-E安全

根据目前披露的CIA使用手册,Angelfire项目共包含五大组成部分,其各自拥有不同的作用:

↦ Solartime - 一款用于修改引导扇区以加载Wolfcreek的恶意软件。
↦ Wolfcreek - 一款自加载驱动程序,可用于加载其它驱动程序以及用户模式应用。
↦ Keystone - 此组件负责启动其它植入物(所谓植入物,为CIA方面用于表述恶意软件的技术术语)。
↦ BadMFS - 创建于活动分区末尾位置的一套创建文件系统。AngelFire项目利用BadMFS存储其它所有组件。其中的全部文件皆经过混淆与加密。
↦ Windows Transitory File System - 一种新型组件,可用于替代BadMFS。该组件不会将文件存储在隐藏文件系统当中,而是将其存储为系统所使用的暂时性(临时性)文件。

根据外泄文档的说明,Angelfire工作适用于32位与64位Windows XP及Windows 7系统,还作用于64位Windows Server 2008 R2系统。

这并非CIA的最强“杰作”

Angelfire框架只是CIA入侵Windows用户的相关军备库中的工具之一。此前曝出的其它工具还包括GrasshopperELSAAfterMidnight以及Assassin等等。

相较于其它工具,Angelfire项目的技术水平似乎算不上十分高明。此次流出的相关文档包含一整套问题清单。

举例来说,各安全产品皆可经由名为“zf”的文件检测到BadMFS文件系统的存在,另外用户亦会在Angelfire中各组件发生崩溃时收到弹窗提示。

除此之外,其中的Keystone组件始终被伪装为“C:\Windows\system32\svchost.exe”进程,而无法在用户的Windows被安装在其它路径时(例如D:\)动态调整其攻击方向。此外,其在XP上无法支持DLL持久性。总而言之,Angelfire项目远称不上是CIA的最强“杰作”。

Vault 7 CIA泄漏汇总

维基解密上次发布的另一个CIA项目,被称为“快车道”(ExpressLane)。CIA借助“快车道”用以暗中监视全球情报合作伙伴,包括FBI、DHS和CIA,秘密收集合作机构的系统数据,而这一秘密项目最早可以追溯到2009年。自今年3月份以来,维基解密已经发布了22批“ Vault 7 ”系列,下面是E安全整理包括最新和上周的泄漏以及以下批次:

1.ExpressLane(“快车道”,秘密收集系统数据);

2.CouchPotato(“沙发土豆”,实时远程监控视频流);

3.Dumbo(“小飞象”,可以暂停摄像头正在使用的进程,并且可以破坏相关任何视频记录);

4.Imperial(“帝国”,针对运行OSX和不同版本的Linux操作系统的计算机);

5.UCL / Raytheon(为CIA远程开发部门提供技术情报);

6.OutlawCountry(“法外之地”,入侵运行有Linux操作系统的计算机);

7.Elsa(“艾尔莎”,利用WiFi追踪电脑地理位置);

8.Brutal Kangaroo(“野蛮袋鼠”,攻击网闸设备和封闭网络);

9.BothanSpy(“博萨间谍”,对SSH凭证进行拦截与渗透);

10.Cherry Blossom (“樱花”,攻击无线设备的框架);

11.Pandemic(“流行病”,文件服务器转换为恶意软件感染源);

12.Athena(“雅典娜”,恶意间谍软件,能威胁所有Windows版本);

13.AfterMidnight (“午夜之后”,Winodws平台上的恶意软件框架);

14.Archimedes(“阿基米德”,中间人攻击工具) ;

15.Scribbles(CIA追踪涉嫌告密者的程序);

16.Weeping Angel (“哭泣天使”,将智能电视的麦克风转变为监控工具);

17.Hive (“蜂巢”,多平台入侵植入和管理控制工具);

18.Grasshopper(“蝗虫”,针对Windows系统的一个高度可配置木马远控植入工具);

19.Marble Framework (“大理石框架”,用来对黑客软件的开发代码进行混淆处理、防止被归因调查取证);

20.Dark Matter(“暗物质”,CIA入侵苹果Mac和iOS设备的技术与工具);

21.HighRise(“摩天大楼”,通过短信窃取智能手机数据的工具)。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。