维基解密CIA泄露盘点:骇人听闻的攻击部门和全方位黑客工具
2017-09-03 10:13:32
  • 0
  • 0
  • 2

来源:AngelaY FreeBuf

近日,卡巴斯基实验室最近发布的一份报告显示,2017年第二季度,泄露的一批新漏洞利用方案促成了数百万次对流行 APP 的新攻击。报告指出,Shadow Brokers 泄露的工具和据称 NSA 有关的漏洞在本季度造成严重后果。其中 EternalBlue、EternalRomance 之类的漏洞引起了大量的恶意攻击。

说起泄露,除了斯洛登棱镜门、Shadow Brokers 泄露 NSA 数据这种大型泄露之外,维基解密泄露的一系列 CIA 文档也可以算是史上较大规模政府机构信息泄露事件了。

事件回顾

2017年3月7日星期二,维基解密曝光了一系列新的 CIA 机密文档。这是继斯诺登泄露NSA数据之后又一大国家级机密信息泄露,维基解密将此次泄露项目命名为“Vault 7”,这是 CIA 史上最大规模的文档泄露。

“Vault 7”项目的第一部分是“Year Zero”文档,收录来自 CIA 总部(弗吉尼亚州兰利市网络情报中心)的 8,761 个文档和文件。而 CIA 总部的网络本来以隔离、高度安全著称。此次 CIA 泄露的机密内容大部分是黑客武器库,包括恶意程序、病毒、木马、有攻击性的 0-day exploit、恶意程序远程控制系统和相关文件。这个文档总内容相当于好几亿行的代码,拥有这份文档,就相当于拥有 CIA 全部黑客的能力。这份档案在前美国政府黑客和承包商之间以未经授权的方式传播,其中一名人员向维基解密提供了部分文档。

“Year Zero”文档记录了 CIA 全球秘密黑客活动的范围和方向,其恶意程序库和数十个武器化的 0-day exploit 针对美国和欧洲大量公司的产品。利用这些武器,CIA 将 iPhone、Android、Windows 甚至三星电视都变成了隐蔽麦克风,进行监听。

自2001年以来,CIA 获得来自 NSA 的政治和预算支持,随后不仅制造了如今臭名昭着的无人驾驶飞机,还发展了一支隐蔽且遍布全球的队伍——CIA 的大量黑客。有了自己的黑客部门后,CIA 不再需要借助 NSA 的黑客能力,因此也不再需要将自己一些有争议的行动向 NSA 报告。毕竟 NSA 是其主要的政治对手,如此一来,CIA 就有了更大的自由。

2016 年底,CIA 黑客部门正式成立隶属于 CIA 的 网络智能中心(CCI),拥有 5000 多个注册用户,制造了一千多个入侵系统、木马、病毒和其他“武器化”恶意程序。2016 年,CIA 的黑客所利用的代码比运行 Facebook 所需要的代码还多。CIA 实际上创造了一个“内部 NSA”,这里很少有问责制。至于花费巨额支出来复制政治对手的黑客能力是否合理,CIA 并未表态。

维基解密所披露的文档中有一份声明,指出了一些迫切需要公开讨论的政策问题,包括 CIA 的黑客能力是否超过其获得授权的权力,以及 CIA 的公众监督问题。该声明希望发起一场公开讨论,主题就是网络武器的安全、制造、使用、扩散和民主控制。

一旦某个网络“武器”公开出来,就能在几秒钟内传播到世界各地,被对手国家、网络罪犯和和青少年黑客所使用。

维基解密主编 Julian Assange 表示:

网络武器面临着极大的扩散风险,这些“武器”的高昂市场价值所造成的无法控制的扩散与全球武器贸易形成了对比。但 “Year Zero” 的意义远远超出了网络战争和网络和平的选择。从政治、法律和取证的角度来看,这次泄露其实也是意外。

主要泄露部门及泄露的相关工具

CIA 恶意程序与黑客工具由 EDG(工程开发小组)负责制造,这是隶属于 CCI(网络情报中心)的软件开发团队。而 CCI 的上级主管则是 CIA 五大主要机构之一的 DDI(数字化创新处)。

EDG 负责开发、测试所有后门程序、漏洞 exploit、恶意 payload、木马程序、病毒以及 CIA 在全球秘密行动中使用的其他类型的恶意程序,并为这些恶意内容的实际操作提供支持。

根据维基解密公布的文档,CIA 这次泄露的主要源头就是 EDG 及其下属的小组(下图中黄色部分)。

参照维基解密的资料,将几个小组主要承担的项目介绍如下:

1. Embedded Development Branch (EDB) 嵌入式设备研发小组

DerStarke :针对苹果 OSX 系统的启动驱动级(Boot-level)rookit 植入木马,用以测试和开发苹果系统 EFI 接口;

YarnBall :在部署有效载荷或数据窃取时使用的隐蔽 USB 存储工具;

SnowyOwl: 针对苹果 OSX 系统,向使用了 OpenSSH 的进程注入代码;

HarpyEagle:针对苹果 Airport Extreme 和 Time Capsule 路由器及 WiFi 存储设备,目的是远程或本地获取 root 权限并植入 rootkit;

GreenPacket:分析和研究 Green Packet 路由器中 HTTP 隧道;

QuarkMatter:针对 OSX 系统的启动驱动级(Boot-level)rookit植入木马,通过 EFI 系统分区中的 EFI 驱动实现任意内核移植;

WeepingAngel:CIA 和英国 MI5 联合开发,针对三星电视,可以实现令三星电视进入 Fake-Off 模式,并监听使用者的活动;

SOLDER- DS&T Exploration Fund (EF 1617):一种多跳网络开发办法;

Pterodactyl:“支持介质拷贝复制的通用硬件解决方案”工具,可以通过诸如树莓派( Raspberry Pi)之类的嵌入式单板机,对目标电脑进行数据拷贝;

Sontaran:针对西门子 VoIP 电话,深入地研究了 VoIP 电话的硬件和软件架构;

Gyrfalcon:针对 OpenSSH 客户端的数据获取工具,追踪 SSH 链接,搜集用户名、密码、TCP/IP 连接信息和会话数据等;

CRUCIBLE:自动化的可利用漏洞识别(automatedexploit identification)工具;

HIVE:多系统、多平台入侵植入和管理控制工具;

Sparrowhawk:键盘记录器,适用于跨平台架构和基于 Unix 的系统,可收集目标用户在系统终端的键盘输入记录,并整理统一格式;

MaddeningWhispers:针对 Vanguard-based 设备进行远程控制的一套漏洞利用工具;

BaldEagle:针对 Unix 系统硬件抽象层的 HALdaemon 漏洞利用工具。

2. Remote Development Branch (RDB) 远程设备研发小组

这个小组维护一个网络攻击模式库,该模式库搜集、总结了之前使用过的攻击方式和技术,例如 Hacking Team 事件中泄露的代码和俄罗斯使用的技术。拥有了庞大数量的模式库之后,新发起网络攻击时,就可以采取模仿,混淆等多种战术,达到迷惑敌人,隐藏自己的目的。

Umbrage:一项团队模式的网络攻击项目,CIA 技术人员通过该项目收集大量公开的黑客工具、攻击技术、一些泄露数据中包含的可用代码和相关思路方法,以此形成一个网络攻击特征库,可应用于网络攻击活动的调查取证;

Source Dump Map:收集和整理了各种公共泄露数据而建立的数据库;

Component Library:整理、开发工具,如键盘记录工具 DirectInput Keylogger,内核注入用户 (APC injection),卡巴斯基 heapgrd 注入工具;

ShoulderSurfer:从 Microsoft Exchange Database 数据库中提取数据的工具;

3. Operational Support Branch (OSB) 行动支持部门

Flash Bang:浏览器沙箱逃逸和劫持工具,分为两部分,一部分在浏览器中运行,当逃逸或劫持成功之后会启动另一部分,实现对目标的进一步提权操作;

Melomy DriveIn:通过劫持 VLC 播放器的DLL进程,间接植入RickyBobby 远控;

RickyBobby:一款轻量级远控植入工具,包含多种 DLL 攻击文件和执行脚本,可以实现对目标系统的端口监听、上传和下载和命令执行等功能;

Fight Club:RickyBobby的传播工具;

Rain Maker:隐藏于绿色版VLC播放器程序中,利用移动载体作为感染传播中介,当用户向网络隔离的目标系统中插入感染U盘介质时,可以隐蔽实施对网络隔离系统的文件窃取和信息收集;

Basic Bit:针对 Windows 系统的键盘记录工具;

HammerDrill:利用 CD/DVD 作为传播感染介质,通过向磁盘中写入恶意代码,实现对目标系统的感染控制;

Fine Dining:为执行入侵任务的技术特工提供的一系列定制服务,如生成一个伪装的 PDF 文档,利用该文档在目标Mac系统中执行文件搜集任务,或对特定程序执行 DLL 劫持;

Munge Payload:对攻击载荷进行加密和免杀处理的工具。

4. Mobile Development Branch (MDB) 移动研发部门

主要任务:远程入侵智能手机,并能将受害者的地理位置、音频信息、文本信息发送回 CIA 服务器,甚至还能激活受害者手机的照相机和麦克风。

5. Automated Implant Branch (AIB)自动植入小组

Grasshopper:针对 Windows 系统的一个高度可配置木马远控植入工具,可以使用各种驻留技术绕过杀软安装其内含的程序;

Frog Prince:远控程序,全功能木马远控植入集成系统,包括 C&C 控制端、端口监听和植入软件;

Caterpillar:通过安全传输方式从目标系统获取文件的工具。

6. Network Devices Branch(NDB)网络设备小组

这个小组主要进行大量的测试和分析工作。

AfterMidnight:使用 DLL 注入技术对 Windows 系统进行系统提权的工具套装;

Packrat:由开源或商业工具集成的一个实施自动监听的软件套装,可以适用于 VMWare Workstation、VMWare ESXi、VirtualBox、OpenStack、KVM/QEMU、Docker、AWS、Google Compute Cloud 等不同服务系统的配置监听;

RoidRage:针对 Android 5.0 以前的设备进行木马植入和漏洞利用的工具;

The.Net:包含一系列虚构公司名称,如 Umbrella、Abstergo 等,用于模拟真实内外网络通信的一个网络配置工具套装。

7. Techical Advisory Council (TAC) 技术咨询小组

启动过一些技术讨论和会议。其中代表性的议题有两个:

What did Equation do wrong, and how can we avoid doing the same?:分析了Equation被黑的原因,并讨论了如何避免下次再犯同样的错误;

Maslow’s Hierachy of Code Review:讨论了Maslow的code review方法。

自三月以来公布的 23 波工具盘点

除了一大波文档之外,维基解密自 3 月 6 号公布之后,基本以每周一更的频率,公布 CIA 的一项工具详情文档和用户手册,至今(8月25日)已经公布了 23 波。分析来看,虽然 CIA 的工具涉及方方面面,不过维基解密公布的这些这些工具主要针对终端设备和各大系统,当然也有其他一些比较偏门的利用。系统和终端恰巧是网络安全中最重要也最容易受到攻击的环节,容易引起关注;每周一更的频率也容易让大众形成习惯。可见维基解密倒是准确把握了社会心理学的套路,很会自我营销。

以下是关于这 23 批工具的具体盘点:

针对终端的工具

入侵摄像头

CouchPotato —— 一款远程工具,能够收集 RTSP/H.264 视频流。它能够收集视频并且保存为 AVI 文件,也可以对变化较大的视频帧抓取静态照片(JPG)。工具利用 ffmpeg 进行视频和图片的编码解码。还使用了管理控制流媒体服务器的 RTSP 网络控制协议。

入侵智能电视

Weeping Angel —— 将智能电视的麦克风转变为监控工具。利用此工具,CIA黑客能够将打开居民家中的智能电视(而且是在用户以为电视关闭的情况下),并窃听人们的对话。与斯诺登公布的监控工具进行比较,可以发现Weeping Angel 与 Nosey Smurf(爱管闲事的蓝精灵)非常相似,Nosey Smurf 是英国 GCHQ 使用的工具,能够将个人电话的麦克风变成监听工具。而 Tracker Smurf(追踪者蓝精灵)则是定位工具,能够定位手机位置,准确率高于三角测量法。

入侵路由器

Cherry Blossom —— CIA 早在 2006 年便开始的项目。其本质上是一款基于固件的可远程植入框架,可以利用漏洞获取未经授权的访问权限并加载自定义的樱花固件,从而入侵路由器和无线接入点(AP)植入固件后,路由器会自动向 CherryTree 发回信息,之后 CIA 操作人员即可在 Web 控制台中进行操作并下达任务来对目标进行攻击。攻击后可进行的操作包括:监控网络流量以收集电子邮件地址,聊天用户名,MAC 地址和 VoIP 号码;将接入受攻击网络的用户重定向到恶意网站;将恶意内容注入数据流,以欺诈手段传递恶意软件并影响加入受攻击网络的系统;设置 VPN 通道,使用户连接到 FlyTrap 的 WLAN / LAN,进行进一步的利用;复制目标设备的完整网络流量。

针对系统的工具

多系统

HIVE —— CIA 计算机网络行动小组(COG)在执行远程目标任务时使用的一个协助平台,由 CIA 嵌入式研发部门(EDB)开发,可以提供针对 Windows、Solaris、MikroTik(路由器OS)、Linux 和 AVTech 网络视频监控等系统的定制植入程序,并能实现多种平台植入任务的后台控制工作,协助 CIA 从植入恶意软件的目标机器中以 HTTPS 协议和数据加密方式执行命令和窃取数据。其自身具备的 HTTPS 协议接口为网络入侵行为增添了隐蔽掩护性。

Mac OS 与 iOS 系统

Achilles —— 针对 OS X DMG 镜像的后门工具,可以让 CIA 工作人员将捆绑恶意木马的合法 Mac OS 应用植入到 DMG 文件中。这个工具的 shell 脚本用 Bash 写成,可以进行一次性命令执行,依据操作者意愿执行一份或多份指定的可执行文件。

Seapea —— OS X 系统中的秘密 Rootkit,可以让 CIA 工作人员隐藏重要文件、目录、进程以及来自用户的 socket 连接,进而秘密安装工具,在用户不知情的情况下访问其电脑。运行时需要获得目标 Mac 电脑的 root 权限, CIA 可以利用其进行内核级别的植入,即使系统重启也能持续感染。只有将启动盘格式化或者将被感染的 Mac 升级到新版本的系统,才能移除这个 Rootkit。

Windows 系统

BothanSpy —— 一款潜入 SSH 终端模拟器 Xshell 窃取所有活跃 SSH 会话中用户凭证的 Windows 平台工具。BothanSpy 会通过 Fire and Collect (F&C) 通道将收集的凭证转移至攻击者的计算机上。通过使用 F&C,BothanSpy 不会接触到本地计算机的磁盘。

Elsa —— 工具主要针对具备 WiFi 功能的 Windows 设备,可以通过附近的 WiFi 网络接入点的 ESS (Extended Service Set)数据匹配地理信息数据库后定位用户的位置。

Athena/Hera —— 采用 Python 语言编写,能够满足 COG/NOD 对于远程指挥及载入的需求。目的是全权地远程控制 Windows PC,让特工能在目标计算机上进行任意操作,如进行数据删除或下载恶意软件,窃取到数据后就可以发送到 CIA 服务器上。目标计算机的操作系统包括 Windows XP Pro SP3 32-bit (仅 Athena 可以支持),Windows 7 32-bit/64-bit, Windows 8.1 32- bit/64-bit,Windows 2008 Enterprise Server,Windows 2012 Server 和 Windows 10 。

Pandemic —— 可以把 Windows 文件服务器变成攻击主机,从而感染局域网内的其他主机。

AfterMidnight —— 一个伪装成Windows服务的动态链接库。它通过基于HTTPS的LP服务进行Gremlins操作。目标设备上安装了AfterMidnight后,会在配置设置下调用配置好的LP服务,然后检查是否有新的计划需要执行。如果有新的计划,它就会下载并存储所有需要的组件到本地,然后载入到内存中。所有的存储文件都以一个LP密钥加密保存。而这个密钥保存在远程计算机上,如果AfterMidnight无法与LP进行连接,则无法执行任何payload。

Assassin —— 针对微软Windows操作系统的自动植入软件。它为攻击方提供了远程数据收集的平台。Assassin 安装在目标计算机上后,这个工具会在Windows服务进程中运行植入程序,允许攻击者在目标设备上运行恶意任务,整体作用与AfterMidnight非常类似。

Grasshopper —— 主要针对 Windows 系统进行入侵控制,是一套具备模块化、扩展化、免杀和持久驻留的恶意软件综合平台;CIA特工在实施入侵攻击之前,可以使用Grasshopper对目标系统进行相关信息探测分类,如操作系统类型、杀毒软件和其它相关技术细节,之后,使用Grasshopper平台自动将这些参数组合成针对特定目标的恶意软件。为了完成定制化恶意软件的配置,Grasshopper程序使用了基于规则的定制化语言进行开发配置,完成相关配置探测之后,Grasshopper会自动生成一个Windows客户端的恶意安装程序,方便现场特工进行安装运行。

Dumbo —— Dumbo 并非恶意软件,而是 Windows 系统上的程序,特工们平常可以放在 USB 中携带。在需要使用的时候,可以将 USB 插入目标计算机并运行该程序。使用者利用这款工具可以实现控制并停止设备的正常运转(关闭所有麦克风、禁用所有网络适配器、暂停使用摄像头的任何进程、选择性损坏或删除录音)。因此,CIA 特工就可以控制并干涉 Windows 系统上网络摄像头、麦克风及其他监控设备,使目标上的音频及视频监控系统瘫痪,以便现场特工执行任务。除此之外,Dumbo 也能够用来检测与设备相关、或与录音或监控软件相关的所有进程。特工可以使用这款工具删除或者中断这些进程,防止任务受到监听或监控。

AngelFire —— 一款框架植入工具,可以作为永久后门留存在被感染系统的分区引导扇区中,对目标系统进行永久远程控制。泄露的用户手册显示,AngelFire 需要获得管理员权限才能成功入侵目标系统。包括 Solartime(修改分区引导扇区,让系统每次加载引导设备驱动时,能加载并执行 Wolfcreek )、Wolfcreek(自动加载驱动)、 Keystone(Wolfcreek 的一部分,利用 DLL 注入功能,直接在系统内存中执行恶意用户应用)、BadMFS (在活动分区结尾创建隐藏的文件系统,新版本BadMFS中会使用硬盘中的某个文件创建)、 Windows Transitory File system(用于安装 AngelFire,可作为 BadMFS 的替代方法)。

Linux 系统

Gyrfalcon —— 针对 Linux 系统( 32 位或 64 位),它需要使用 CIA 开发的 JQC/KitV rootkit 获取访问权限,而在运行时则使用普通用户权限。可以在 RHEL, Ubuntu, Suse, Debian, 及 CentOS 等多款系统上使用。 Gyrfalcon 能够收集全部或部分 OpenSSH 的会话流量,包括 OpenSSH 用户的用户名和密码。一个第三方的应用会提供 Linux 平台及监听端口的通讯交流,用来传送加密信息文件。

Aeris —— 用 C 语言写成的自动植入工具,专门针对 Linux(Debian, CentOS, Red Hat, FreeBSD 以及 Solaris)植入后门。Aeris 支持自动提取文件,攻击者常常用于这种方法通过 TLS 加密信道从被入侵的设备中窃取信息。它与 NOD 加密标准兼容,可以提供结构化命令和控制,这与一些 Windows 植入工具所用的命令和控制相似。

Outlaw Country —— 这款工具中包含一个内核模块,CIA 特工可以通过 shell 访问目标系统加载模块,并且可以在目标 linux 主机创建一个名称非常隐蔽的 Netfilter 表,进而让特工把目标计算机上的所有出站网络流量重定向到CIA控制的计算机系统,以便窃取或者注入数据。

HighRise —— 一款安卓恶意程序,可以拦截 SMS 消息并将其重定向至远程的 CIA 服务器上。主要特征是:向CIA控制的联网服务器发送手机收件箱的所有信息;通过 HighRise 主机从被入侵的手机端发送SMS消息;为HighRise 操作者和监听站之间提供通信信道;利用TLS/SSL安全互联网通信。

其他

UMBRAGE —— UMBRAGE 项目小组专门执行 false flag 行动 (假旗行动:是隐蔽行动的一种,指通过使用其他组织的旗帜、制服等手段误导公众以为该行动由其他组织所执行的行动),进而隐藏攻击手段,对抗调查取证。这个项目收录了多种恶意软件攻击技术,例如:键盘记录、密码收集、网络摄像头捕获与控制、数据销毁、持久性感染、提权、隐蔽攻击、反杀毒软件等等。美国大型国防合约商 Raytheon 收购并新成立的安全公司 Raytheon Blackbird Technologies 为这个项目提供具体的恶意程序分析分析,协助项目小组开发、提升 CIA 自己的网络攻击技术。

Brutal Kangaroo —— 专攻物理隔离网络,或者说未接入互联网的网络,目标主要是企业和关键基础设施。总的说来,其最初的攻击向量和震网 Stuxnet 蠕虫比较相似。Brutal Kangaroo 主要包含三个部分:Drifting Deadline – 这是“残忍的袋鼠”工具集主体,包含一个GUI生成器,可用于生成所有必要的恶意程序;Shattered Assurance – 这是运行在已感染设备上的服务器组件,用Drifting Deadline生成的恶意程序来自动感染U盘(或移动存储设备);Shadow – 在物理隔离网络中,将多台感染设备串联起来的工具,攻击者可定义一系列任务在离线计算机上执行。

Archimedes —— 在局域网内(主要是企业网络中)进行中间人攻击的工具。可以通过感染此恶意程序的计算机将局域网内目标计算机中的流量进行重新定向。CIA 利用这个工具将目标网络中的计算机 web 浏览器重定向到一个看起来正常的服务器,并进行进一步恶意操作。

Scribbles —— 这是一个文档预处理系统,用于给涉密文档打上“Web beacon”类型的追踪水印。Scribbles的水印严格来说就是在文档中插入一个远程图像的URL,当文档被打开时,会主动通过HTTP或HTTPS协议的GET请求访问该URL,以加载远程图片,远程服务器接收到请求便可得知有机密文件已经被打开,并可根据请求信息,得知文件被打开时所在的主机源IP等信息,从而进行追踪。

Marble —— 一款秘密反取证的框架,对 CIA 的发出的病毒、木马等恶意攻击的真实来源进行混淆。主要通过隐藏(模糊化)CIA 恶意程序的文本内容,避免检测。

ExpressLane —— 秘密从 CIA 的技术服务部门(OTS)为联络情报机构提供的生物识别采集系统( biometric collection system)中窃取数据。OTS 的特工会声称要要使用 USB 设备对系统进行升级。随后,特工将特定移动设备插入到这些系统中,让系统显示“安装更新”页面,并显示“更新”进度条,借此将 ExpressLane 伪装成该系统的常规更新部分,手动安装到系统中。随后,ExpressLane 会秘密搜集联络机构系统中的机密数据,并将数据加密存储在特定移动设备的秘密分区中。

四、小结

可以预见,维基解密的这波泄露大戏还将继续,造成的影响也将持续。早在四月初,就有赛门铁克的研究人员表示,CIA 这些泄露的黑客工具应当对 16 个国家的 40 多起网络攻击负责。而文首所说的卡巴斯基实验室的报告也表明,这些泄露的漏洞利用工具的确促成了更多网络攻击。自三月份至今的及其大规模网络攻击中,似乎没有利用 CIA 工具的案例,倒是 NSA 的那些工具或 0-day 漏洞引起了大规模恐慌(如利用了 EnternalBlue 的 WannaCry)。虽说维基解密每周的泄露有自我营销的嫌疑,但企业和用户仍然应当对此保持关注,定期检查自己的网络和设备,及时进行更新。作为非当事人,我们也不知 CIA 和维基解密之间到底有怎样的恩怨情仇,也无法阻止工具开发和传播,唯一能做的就是尽可能做好自身的防范。这是老生常谈,但也是有效手段。

*本文作者:AngelaY,未经许可禁止转载

 
最新文章
相关阅读