CIA新一波工具AngelFire: 针对Windows系统的永久恶意框架
"这周,维基解密公布了新这款 CIA 专用工具 AngelFire。AngelFire 是这款架构嵌入专用工具,能够做为永久性侧门存留在被感柒系统软件的系统分区正确引导扇区中,对总体目标系统软件开展永久性远程操作。泄漏的使用手册显示信息,AngelFire 必须得到管理员权限能够取得成功侵入总体目标系统软件。
与先前的 Grasshopper、ELSA、 After Midnight 相近,AngelFire 都是这款永久架构,能够在总体目标系统软件(Windows xp 与 Windows 7)中载入并实行订制的引入程序流程。
AngelFire 有5个构成:
1. Solartime — 改动系统分区正确引导扇区,让系统软件每一次载入正确引导机器设备驱动器时,能载入并实行 Wolfcreek (内核编码);
2. Wolfcreek — 全自动载入驱动器(即 Solartime 实行的内核编码),能够载入别的驱动器和客户方式的运用;载入别的驱动器和运用时,就能建立能够在被感柒设备上检验到的内存泄漏;
3. Keystone — Wolfcreek 的部分,运用 DLL 引入作用,立即在系统软件运行内存中实行故意客户运用,不用将恶意程序储存进文件系统。建立的系统进程被取名为 svchost.exe,且全部的內容全是持续的,包括 svchost.exe 案例(如照片相对路径和父系统进程等)。
11. BadMFS — 在主题活动系统分区末尾(最新版本BadMFS时会应用固态盘中的某一文档)建立掩藏的文件系统,储存 Wolfcreek 起动的全部驱动安装和嵌入程序流程;全部这种文档都历经了搞混和数据加密防止根据字符串和pE头扫描仪特点;
4. Windows Transitory File system — 用以安裝 AngelFire,可做为 BadMFS 的取代方式。CIA 特工可运用这一方式建立某些临时文件,而无需像BadMFS相同把她们存有隐蔽工程的文件系统中。这种文档将会是实行各种各样实际操作必须的文档,例如安裝、向 AngelFire 加上文档、从 AngelFire 清除文档等。这种临时文件存有 “UserInstallApp”中。
文本文档显示信息, AngelFire 能够侵入 31 位的 Windows xp 和 Windows 7,及其 32 位的 Windows Server 2009 R2 和 Windows 7。AngelFire 有2个安裝版本号:可实行的安裝版本号和 fire-little-collect .dll 安裝版本号。
实际上,与 CIA 别的侵入 Windows 系统软件的专用工具对比,AngelFire 有某些不够。比如,某些网络安全产品能够根据名叫 “zf”的文档检验到 BadMFSB 文件系统;在 AngelFire 至少1个部件奔溃时,客户也可以见到弹框警示。
除此之外, Keystone 部件运用 “C:\Windows\system32\svchost.exe” 系统进程做为掩藏,可是,要是 Windows 系统软件相对路径存有于 D 盘等别的系统分区,这一掩藏系统进程就没法开展相匹配调节;除此之外 Windows xp 系统软件并不是适用永久性 DLL 引入。
别的Vault 7 CIA专用工具
自2019年3月7日刚开始,维基解密刚开始应用1个新的编号 Vault 7 做为美国中情局(CIA)的比较敏感披露方案。依据维基解密的论述,这种泄漏的文档中包括了很多 0day,恶意程序,病毒感染,木马病毒及其有关文本文档的高度机密材料,在美政府网络黑客和承包单位中间散播,至少许多人向维基解密递交了那份绝密档案的一部分內容。
自新项目刚开始至今,维基解密早已总共发布了 28 批 Vault 7 系列产品文档:
AngelFire – 架构嵌入专用工具,对总体目标系统软件开展永久性远程操作(2017.08.31)
ExpressLane – 监控器包含 FBI、DHS 和 NSA 等以外的谍报联系组织并收集统计数据的专用工具(2017.08.25)
CouchPotato – 盗取RTSP/H.264视频流专用工具(2017.8.10)
Dumbo – 用于关掉摄像头监控的专用工具(2017.8.3)
Imperial – 几款侧门专用工具(2017.7.28)
UMBRAGE / Raytheon Blackbird – CIA 承包单位 Raytheon Blackbird Technologies 为 UMBRAGE 新项目出示的恶意程序详尽分析文本文档 (2017.7.19)
HighRise – 阻拦 SMS 信息并重定向至远程控制 CIA 网络服务器的iOS恶意程序(2017.7.13)
BothanSpy & Gyrfalcon – 窃
相关文章
- 5条评论
- 萌懂拥嬉2022-05-31 05:00:39
- 系统软件开展永久性远程操作(2017.08.31) ExpressLane – 监控器包含 FBI、DHS 和 NSA 等以外的谍报联系组织并收集统计数据的专用工具(2017.08.25)
- 孤央淤浪2022-05-30 21:49:37
- lartime 实行的内核编码),能够载入别的驱动器和客户方式的运用;载入别的驱动器和运用时,就能建立能够在被感柒设备上检验到的内存泄漏; 3. Keystone — Wolfcreek 的部分,运用 DLL 引入作用,立即在系统软件运行内存中实行故意客户运用,
- 夙世森槿2022-05-30 20:37:46
- xp 与 Windows 7)中载入并实行订制的引入程序流程。 AngelFire 有5个构成: 1. Solartime — 改动系统分区正确引导扇区,让系统软件每一次载入正确引导机器设备驱动器时,能载入并实行 Wolfcreek
- 可难倾酏2022-05-31 01:48:52
- Grasshopper、ELSA、 After Midnight 相近,AngelFire 都是这款永久架构,能够在总体目标系统软件(Windows xp 与 Wind
- 只影优伶2022-05-31 07:13:19
- 文本文档显示信息, AngelFire 能够侵入 31 位的 Windows xp 和 Windows 7,及其 32 位的 Windows Server 2009 R2 和 Window