CIA Angelfire:专门感染Windows的恶意软件框架
根据目前披露的CIA使用手册,Angelfire项目共包含五大组成部分,其各自拥有不同的作用:
Solartime - 一款用于修改引导扇区以加载Wolfcreek的恶意软件。
Wolfcreek - 一款自加载驱动程序,可用于加载其它驱动程序以及用户模式应用。
Keystone - 此组件负责启动其它植入物(所谓植入物,为CIA方面用于表述恶意软件的技术术语)。
BadMFS - 创建于活动分区末尾位置的一套创建文件系统。AngelFire项目利用BadMFS存储其它所有组件。其中的全部文件皆经过混淆与加密。
Windows Transitory File System - 一种新型组件,可用于替代BadMFS。该组件不会将文件存储在隐藏文件系统当中,而是将其存储为系统所使用的暂时性(临时性)文件。
根据外泄文档的说明,Angelfire工作适用于32位与64位Windows XP及Windows 7系统,还作用于64位Windows Server 2008 R2系统。
这并非CIA的最强“杰作”
Angelfire框架只是CIA入侵Windows用户的相关军备库中的工具之一。此前曝出的其它工具还包括Grasshopper、ELSA、AfterMidnight以及Assassin等等。
相较于其它工具,Angelfire项目的技术水平似乎算不上十分高明。此次流出的相关文档包含一整套问题清单。
举例来说,各安全产品皆可经由名为“zf”的文件检测到BadMFS文件系统的存在,另外用户亦会在Angelfire中各组件发生崩溃时收到弹窗提示。
除此之外,其中的Keystone组件始终被伪装为“C:\Windows\system32\svchost.exe”进程,而无法在用户的Windows被安装在其它路径时(例如D:\)动态调整其攻击方向。此外,其在XP上无法支持DLL持久性。总而言之,Angelfire项目远称不上是CIA的最强“杰作”。
Angelfire项目泄露地址:https://wikileaks.org/vault7/releases/#Angelfire
Vault 7 CIA泄漏汇总
维基解密上次发布的另一个CIA项目,被称为“快车道”(ExpressLane)。CIA借助“快车道”用以暗中监视全球情报合作伙伴,包括FBI、DHS和CIA,秘密收集合作机构的系统数据,而这一秘密项目最早可以追溯到2009年。自今年3月份以来,维基解密已经发布了22批“ Vault 7 ”系列,下面是E安全整理包括最新和上周的泄漏以及以下批次:
1.ExpressLane(“快车道”,秘密收集系统数据);
2.CouchPotato(“沙发土豆”,实时远程监控视频流);
3.Dumbo(“小飞象”,可以暂停摄像头正在使用的进程,并且可以破坏相关任何视频记录);
4.Imperial(“帝国”,针对运行OSX和不同版本的Linux操作系统的计算机);
5.UCL / Raytheon(为CIA远程开发部门提供技术情报);
6.OutlawCountry(“法外之地”,入侵运行有Linux操作系统的计算机);
8.Brutal Kangaroo(“野蛮袋鼠”,攻击网闸设备和封闭网络);
9.BothanSpy(“博萨间谍”,对SSH凭证进行拦截与渗透);
10.Cherry Blossom (“樱花”,攻击无线设备的框架);
11.Pandemic(“流行病”,文件服务器转换为恶意软件感染源);
12.Athena(“雅典娜”,恶意间谍软件,能威胁所有Windows版本);
13.AfterMidnight (“午夜之后”,Winodws平台上的恶意软件框架);
14.Archimedes(“阿基米德”,中间人攻击工具) ;
16.Weeping Angel (“哭泣天使”,将智能电视的麦克风转变为监控工具);
17.Hive (“蜂巢”,多平台入侵植入和管理控制工具);
18.Grasshopper(“蝗虫”,针对Windows系统的一个高度可配置木马远控植入工具);
19.Marble Framework (“大理石框架”,用来对黑客软件的开发代码进行混淆处理、防止被归因调查取证);
20.Dark Matter(“暗物质”,CIA入侵苹果Mac和iOS设备的技术与工具);
21.HighRise(“摩天大楼”,通过短信窃取智能手机数据的工具)。
22.Angelfire(专门用于感染Windows计算机设备的恶意软件框架)。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/1094523310.shtml
相关阅读:
▼点击“阅读原文” 下载E安全APP