查看原文
其他

维基解密:CIA利用“野蛮袋鼠”渗透封闭网络

2017-06-23 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全讯 美国时间6月22日,维基解密披露发布了CIA Vault7系列的第十二批文件,分别是“野蛮袋鼠(Brutal Kangaroo)”和“情感猿猴(Emotional Simian)”项目。披露的文件详细描述了美国情报机构如何远程渗透入侵封闭的计算机网络或独立的安全隔离网闸设备(Air-Gapped Devices,从未连接过互联网的设备)。而这两个项目只针对微软Windows操作系统。

野蛮袋鼠(Brutal Kangaroo)

根据维基解密发布的消息,“野蛮袋鼠”是用于微软Windows操作系统的工具套件,通过使用U盘或闪存(thumbdrives)的网闸摆渡来入侵封闭的网络。野蛮袋鼠组件在目标封闭网络内创建一个定制化的隐蔽网络,并提供调查执行、目录列表和任意文件执行等功能。一般金融机构,军事和情报机构,核电行业都会使用封闭网络以保护重要数字资产。

此次披露的文件描述了CIA如何能够在无法直接访问的情况下渗透组织或企业内的封闭网络(或安全隔离网闸的独立计算机)。

首先,感染目标内的一台接入互联网的计算机(称为primary host“主要宿主”),并在这台计算机上安装“野蛮袋鼠”恶意软件。当用户使用“主要宿主”并插入U盘或闪存盘时,U盘或闪存盘自身会被单独的恶意软件感染。

如果这个U盘或闪存盘用于在封闭的网络和LAN(局域网)/WAN(广域网)之间复制数据,用户迟早会将U盘或闪存盘插入到封闭网络中的计算机上,恶意软件就会向袋鼠一样跳来跳去感染封闭网络内的其他设备。通过在这种受保护的计算机上使用Windows资源管理器浏览USB驱动器,它也会感染渗透或探测恶意软件。

如果封闭网络中的多台计算机都处于CIA控制之下,它们将形成一个隐蔽网络来协同任务和数据交换。

窃取的数据可以再次返回到CIA,这取决于有人将封闭网络计算机上使用的USB连接到在线设备。

虽然此次泄露的文档中没有明确说明,但是这种入侵破坏封闭网络的方法与世界上首个网络超级破坏性武器“震网病毒(Stuxnet)”的工作方式非常相似(详见震网病毒纪录片《零日.Zero Days.2016》HD1080P E安全独家中文字幕)。

据称CIA在2012年-也就是在伊朗的Stuxnet事件发生两年后开始制定“野蛮袋鼠”项目。

野蛮袋鼠项目的主要组件


Drifting Deadline:用于感染U盘或闪存盘的恶意工具;

Shattered Assurance:这是一个服务器工具,处理U盘或闪存盘的自动感染(该工具是野蛮袋鼠套件的主要传播手段);

Broken Promise:野蛮袋鼠后处理器(用于评估收集的信息),

Shadow:是主要的驻留机制(第2阶段工具,分布在封闭的网络中,充当隐蔽的命令和控制网络;一旦安装了多个Shadow实例并共享驱动器,任务和Payloads就能来回发送)。

受感染的USB设备使用的主要执行向量是微软Windows操作系统中的一个漏洞,可以通过特制的链接文件来利用这些漏洞,这个特制文件可以在没有用户交互的情况下加载和执行程序(DLL)。旧版本的工具套件使用了一种称为EZCheese的机制,这在2015年3月前一直是零日漏洞利用程序(CVE-2015-0096); 较新版本似乎使用了类似但尚未知的链接文件漏洞,与Windows操作系统的库描述文件library-ms有关。

情感猿猴(Emotional Simian)

“情感猿猴(Emotional Simian)”项目是一款恶意软件程序:

本次维基解密披露发布了共计11个文件,这些文件显示至少要到2035年才能被解密。而维基解密发布的文件日期为2016年2月,表明这两个项目可能已经在去年就开始被CIA所使用。

维基解密CIA Vault7系列的第十二批文件地址:

https://wikileaks.org/vault7/document#brutalkangaroo

维基解密自三月以来公开的CIA工具


下面是E安全整理的维基解密自今年3月以来披露发布的CIA工具:


23
E安全推荐文章

官网:www.easyaq.com

2017年6月

01CIA用“樱花炸弹”入侵我们的路由器
02CIA利用Pandemic项目将文件服务器变成恶意软件感染源
03CIA泄露的恶意间谍软件“雅典娜”威胁所有Windows版本
04CIA Vault7新文件曝光:CIA针对Window系统定制恶意软件平台
05维基解密再爆CIA MitM攻击【工具】
06CIA Vault 7第四波:蝗虫来袭,微软Windows寸草不生【附下载】
07CIA反取证工具曝光 安全专家质疑维基解密
08维基解密发布CIA所使用的MacBook与iPhone入侵工具包
09部分CIA的漏洞利用工具干货请查收
10美情报系统身陷破窗效应:维基解密再曝CIA惊天内幕【附下载】


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存