E安全5月16日讯 据报道，维基解密公布了CIA专门针对Window系统的两个不同的恶意软件平台，代号为“午夜之后”（AfterMidnight）和“暗杀者”（Assassin）。

就在“WannaCry”勒索病毒肆虐，致全球关键基础设施和私有组织机构遭遇勒索时，维基解密公布了Vault7系列一批新CIA文件。

AfterMidnight和Assassin是CIA用来创建针对Windows的自定义恶意软件框架，这两个框架均实现了经典的后门功能，允许CIA控制目标系统。

自今年三月以来，维基解密获取了数千份CIA文件。维基解密过去几周泄露的文件如下：

• Year Zero：暴露了CIA针对硬件和软件的黑客漏洞利用工具。

• Dark Matter：包含iPhone和Mac黑客漏洞利用工具。

• Marble：CIA用来隐藏网络攻击归因的框架

• Grasshopper：揭露了CIA入侵Windows和绕过反病毒保护的自定义恶意软件框架。

• Archimedes工具：CIA针对LAN网计算机的工具。

• Scribbles项目：用于文件追踪的。

“Gremlin”是AM有效载荷的术语，其隐藏在目标设备上运行，此外，Gremlin还可以：

• 破坏目标软件的功能；

• 提供基本的调查/渗漏；

• 为其它Gremlin提供内部服务。

AfterMidnight利用基于HTTPS的监听站（LP）系统“Octopus”检查已安排的事件。在内存中加载所有新Gremlin之前，每创建一个新Gremlin，AfterMidnight会下载并存储所有必需的组件。

维基解密此次泄露的文件包含AfterMidnight用户指南，AfterMidnight平台提供的指南描述如下：

AfterMidnight是一个DLL，能作为Windows DLL自行保持持续性，并通过基于HTTPS的LP安全执行“Gremlin”。一旦安装到目标设备上，AM将在可配置的已安排事件上返回至配置LP，查看是否有新计划要执行。如果有新计划，在加载内存中所有新Germlin之前，AfterMidnight会下载并存储所有必需的组件。所有本地存储由未存储在客户端上的“LP”密钥加密。如果AM无法联系LP，该平台将无法执行任何有效载荷。    

AfterMidnight使用的本地存储使用密钥加密，其密钥未存储在目标设备上。

CIA操作人员可以使用特殊模块“AlphaGremlin”中包含的自定义语言安排自定义任务。

Assassin是一款与AfterMidnight类似的恶意软件，它是一款自动化植入程序（Implant），在运行Windows操作系统的远程计算机上提供简单的收集平台。一旦该工具安装到目标设备上，植入程序在Windows服务进程内运行。Assassin（就像AfterMidnight）将定期向配置的监听站发送信标，请求任务并提供结果。部署时（或之前）配置一个或多个传输协议，该工具便会进行通信。Assassin的命令与控制（C2）和监听站（LP）子系统统称为“The Gibson”，并允许操作人员在受感染目标上执行特定的任务。    

一旦感染目标设备，Assassin 便会在Windows服务进程后运行植入程序，从而允许CIA操作人员执行恶意任务。

Assassin 的用户指南显示，该恶意软件框架的四个组件为：

• “植入程序”（Implant）：在目标Windows设备上提供核心逻辑和功能，包括通信和执行任务。

• “生成器”（Builder）：配置Implant组件。

• 命令与控制（C2）子系统：充当操作人员和监听站之间的接口。

• 监听站（LP）：允许Assassin Implant通过Web服务器与命令与控制子系统通信。

本次泄露文件地址:
https://wikileaks.org/vault7/#AfterMidnight