“假旗行动”中的“大理石”软件是指什么？

最近新闻中提到美国政府的“假旗行动”，其中提到一款软件，叫“大理石”软件。

“大理石”软件的主要功能是通过混淆和掩盖网络攻击的真正源头，使这些攻击难以被追溯到真实的实施者。“大理石”软件使用字符串混淆技术，隐藏恶意软件中的文本信息。

那么这个“大理石”软件是指什么？

通过网络搜索，我们发现“大理石”软件是指CIA（美国中央情报局）的Vault7框架中的Marble框架。我们根据网络资料来了解一下。

点击左下角

关注我们

假旗行动

我们首先来看一看“假旗行动”的定义。

根据百科介绍，假旗行动，亦作伪旗行动，是隐蔽行动的一种，指通过使用其他组织的旗帜、制服等手段误导公众以为该行动由其他组织所执行的行动。

英文名是False Flag Operation。

在新闻中提到的网络攻击的场景下，指伪造其他组织的特征，误导溯源人员，使其根据特征错误地判断为其他组织。

Flag

既然是False Flag，那么Flag到底是什么？

程序员应该知道，在程序编译时，会有一些本地环境信息被编译到程序中，比如一些文件路径信息等。这些特征会作为证据之一，用于取证组织对程序所属组织进行判断。

还有一些简单的特征，如使用的语言信息，比如英文、俄文、中文等。不同的语言，也会指向不同的组织。

或者代码的一些特征，因为程序员的代码会重复使用，因此，某些代码会在不同的程序中共用，这也可能会作为一个特征来归类。

类似这样的特征，可以用来对组织进行分类识别。就像对人，可以使用高矮胖瘦、说话有没有方言、性别等一些特征来归类。

这些特征就是Flag。

大理石软件

大理石软件，英文是Marble，是一套软件，属于CIA的Vault 7中的一部分。

这套软件，在2017年，被维基解密公开在网络之上。

大理石框架旨在允许在开发工具时灵活且易于使用的混淆。在签名工具时，字符串混淆算法（尤其是那些独特的算法）通常用于将恶意软件与特定开发者或开发团队关联起来。该框架旨在帮助我们（AED）改进我们目前在工具中的字符串/数据混淆过程。

1.Mibster 修改源文件并生成收据

2.构建项目

3.Mender 将源文件恢复到原始形式

4.验证结果二进制文件中的字符串/数据搅乱

简单来讲，大理石框架可以做一些特征的混淆。

那么，既然可以随机混淆，就可以往特殊方向的混淆，比如某个已知组织的特征，往相应的方向混淆，误导取证人员。

比如一些电影中的场景，可以模仿口音来使别人误判当事人，或者男扮女装之类的外形特征改变来误导方向。

在大理石框架中，就是将程序的特征修改为其他特征。

1.使用 Marble.h 从大理石池中选择

2.扫描源文件，创建黄金副本

3.修改源文件

4.生成收据

1. 扫描任何修改过的源文件 

2. 将源文件恢复到预构建状态

3. 通知用户修改情况