时间:2017-04-10 来源:互联网 浏览量:
4月7日,维基解密发布了一份Vault 7“Grasshopper”的档案,其中有来自美国中央情报局(CIA)Grasshopper框架的27个文档,这是一个用于为Microsoft Windows操作系统构建定制的恶意软件有效负载平台。
Grasshopper提供了多种由CIA操作员使用的模块,用于构建一个定制的植入物,该植入物将以不同的方式运行,例如,根据在过程中选择的特定特征或功能,在计算机上保持持久性不同建立捆绑。并且还设置了一种非常灵活的语言来定义用于“执行目标设备的安装前调查”的规则,确保只有在目标具有正确配置的情况下才能安装有效载荷。通过这种语法,CIA操作员能够进行简洁的逻辑构建,例如调查目标设备正在运行哪个版本的Microsoft Windows,或查询特定的防病毒产品是否运行。
此外,Grasshopper还允许使用持久性机制来安装工具,并使用各种扩展(如加密)进行修改。泄漏文档显示,Grasshopper提供了各种持久性机制,并允许用户定义在安装启动之前需要满足的一系列条件。这些规则可以帮助确定目标设备是否正在运行正确版本的Windows以及某些安全产品是否存在。市面上“MS Security Essentials”,“瑞星”,“赛门铁克端点”或“卡巴斯基”在目标计算机上都无法检测到这个恶意模块。
除了用户指南,维基解密还披露了“赃物”的使用手册。“赃物”可通过目标设备上的一项驱动程序生效,使其能够在引导流程结束后得以执行,最终确保该恶意软件能够在微软Windows设备引导后正常起作用。维基解密特地强调了这个名为“赃物”的持久性模块,它借用了之前臭名昭著的“Carberp”银行木马代码,该木马程序的源代码在几年前就被泄漏了。
“Carberp”银行木马的作者指出,“赃物”只是借用了Carberp代码的某些部分进行测试,并且被做了大量修改。而另一种持久性机制则利用Windows Update Service,允许在每次系统启动或每22小时执行一次有效负载,此技术使用注册表中指定的一系列DLL。
这是WikiLeaks公布的第三轮文件,作为转储名称为Vault 7的一部分。为我们提供了一个洞察建立现代间谍工具的建立,并了解中情局如何保持对感染的Microsoft Windows计算机的持久性的过程,而这也将为网络安全提供了一个研究方向。