CIA Vault7泄露文档第五波：多平台入侵植入和管理控制工具HIVE

近期，NSA和CIA的互联网武器装备都被捅娄子了，4月13日，就在ShadowBroker发布第二批NSA互联网大杀器的同一时间，维基解密再次发布了Vault7系列产品名叫HIVE（蜂窝）的CIA网络工具有关文本文档。文本文档共6份，包含了HIVE的开发设计应用和配备工作中文本文档等，最开始版本号纪录追朔到2014年年12月。

　　是CIA计算机网攻坚工作组（COG）在实行远程目标每日任务时应用的1个帮助服务平台，由CIA内嵌式研发部（EDB）开发设计，能够出示对于Windows、Solaris、MikroTik（无线路由Os）、Linux和AVTech网络监控系统等系统软件的订制嵌入程序流程，能够建立多种多样服务平台嵌入每日任务的后台管理操纵工作中，帮助CIA从嵌入恶意程序的总体目标设备中以HTTPS协议书和数据库加密方法运行命令和盗取统计数据。其本身具有的HTTPS协议书插口为互联网侵入个人行为增加了隐蔽工程掩体性。

　　曾有某些杀软企业和安全性权威专家根据互联网侵入个人行为，探测上了某些国家一级其他黑客攻击主题活动应用了相近HIVE的进攻构架，但以前却始终没法精确追溯。而就在近期，赛门铁克科学研究工作人员根据对vault7文本文档的调研后发觉，CIA将会就是说操纵运作黑客组织Longhorn的幕后人，Longhorn曾对最少18个國家的50个总体目标系统软件进行过进攻。赛门铁克汇报中对Longhorn的黑客攻击构架是那样叙述的：

　　在互联网侵入主题活动中，对远程操作C&C端而言，Longhorn会独立为每一总体目标分派1个特殊的iP和网站域名组成。一些奇怪的是，以便藏匿真实身份和个人行为，这种网站域名其实是由网络攻击自个申请注册的，但这种ip地址都对准靠谱VPS和网址托管商。这种侵入主题活动中涉及到的恶意程序，在与近端C&C集群服务器的沟通交流通讯确是HTTPS方法，并且应用了自定的最底层加密协议来开展掩藏。

　　本次HIVE专用工具有关文本文档的曝出更加以前杀软企业和安全性权威专家的剖析出示了证明。

　　原理

　　的进攻基本原理为在TCP/udp协议协议书通讯中，实行XOR和其他加密算法，根据军工商局诺斯·格鲁曼（Northrop Grumman）产品研发的代理商构架BLOT和1个名叫Switchblade的正中间构架，在侵入总体目标与CIA远程操作端开展隐蔽工程通讯和管理控制。至少，全部的C&C通讯又根据BLOT构架配备的Apache网络服务器和网站域名转站脚本制作开展回连操纵，并且以便提高防御性，全部HIVE应用的ip地址能够在VPS系统软件内进行重定向姿势。

　　构架叙述

　　每1个被嵌入恶意程序的侵入总体目标，在与C&C端开展反跳联接时，在VPS系统软件内由其本身带上的反跳信息内容被特定兼容网站域名和重定向变更，以后，这种网站域名总流量信息内容又会抵达BLOT的代理商安全通道。因为在VPS系统软件内历经重定向变更，端口号等信标信息内容都是被再次变更以后发给BLOT构架，如以前根据90端口号联接某网站域名，那么重定向变更发给BLOT时，将会就是说8001端口号。BLOT构架其实如同1个总流量转站Cpu，当它接受到合理且关键信标后，就会发给Honeycomb开展后端开发解决，而且，全部总流量最后都是镜像系统发送至隐蔽工程的Apache网络服务器（Cover    server）。

　　构架叙述

　　是1个能与其他服务咨询开展沟通交流通讯的验证代理商，它应用自签字资格证书，还能与Nginx和Linux网络服务器的总流量统计数据开展互交解决，在侵入总体目标和C&C端网络服务器（Cover server）中间提升防御性。

　　专用工具有关文档下载：PAN，提取码：