干货梳理 | Vault7文档曝光的那些CIA网络武器

在维基解密曝光的CIA-Vault7文档中，包含了一堆晦涩难懂的名词、行话，以及一些不完整的描述和注册链接，这些信息非常有趣，但很多术语却让人很难理解。所以，在遍历了所有Vault7文档之后，我根据真实意思和一些可以查询到的结果，尽可能多地对其中涉及的黑客工具作了解释，以供参考研究，欢迎大家指正交流。

以下内容中，有些是根据提及的测试设备、开发者注释等信息得出的比较贴合实际意思的解释；而一些商业性工具（如洛克希德马丁的DART软件）、文档中涉及的注册链接和运行代号，在此就不作罗列。让我们随着Freebuf一起来走近CIA的网络军火库：

EDB部门涉及的黑客工具

Embedded Development Branch（EDB，嵌入式研发部门），该部门负责对电话、工作站电脑、智能电视等目标设备进行入侵破解或植入内置工具，手段可以算是软硬兼施，他们开发的工具包括：

Pterodactyl：一个“支持介质拷贝复制的通用硬件解决方案”工具，它可以通过诸如树莓派（ Raspberry Pi）之类的嵌入式单板机，对目标电脑进行数据拷贝；（vault7中出现次数：107）

SparrowHawk：适用于跨平台架构和基于Unix系统的键盘记录器，收集目标用户键盘记录，并进行格式整理统一；（vault7中出现次数：91）

DerStarke：针对苹果OSX系统的启动驱动级（Boot-level）的rookit植入木马；（vault7中出现次数：79）

GyrFalcon：用于针对OpenSSH客户端的数据获取工具，可以跟踪ssh连接、获取用户名密码以及连接数据内容等信息；（vault7中出现次数：36）

SnowyOwl：针对目标系统，基于OpenSSH会话进行代码注入；（vault7中出现次数：13）

HarpyEagle：是专门针对苹果路由器AirportExtreme和Wi-Fi存储设备Time Capsule而设计的，目的是远程或本地获取root权限并进行rootkit植入；（vault7中出现次数：60）

BaldEagle：针对Unix系统硬件抽象层的HALdaemon漏洞利用工具；（vault7中出现次数：27）

MaddeningWhispers：针对Vanguard设备进行远程入侵的漏洞利用工具；（vault7中出现次数：34）

CRUCIBLE：自动化的可利用漏洞识别（automatedexploit identification）工具；（vault7中出现的次数：8）

YarnBall：在部署有效载荷或数据窃取时使用的隐蔽USB存储工具；（vault7中出现次数：43）

GreenPacket：针对GreenPacket路由设备进行木马植入的工具套装；（vault7中出现次数：11）

QuarkMatter：另一款针对OSX系统的启动驱动级植入木马；（vault7中出现次数：40）

Weeping Angel：由CIA和英国MI5共同开发的针对三星智能电视的木马植入工具组件。该窃听软件感染智能电视后，会劫持电视的关机操作，保持程序的后台运行，让用户误以为已经关机了，之后它会启动麦克风，开启录音功能，然后将录音内容回传到CIA的后台服务器；（vault7中出现次数：65）

Hive：针对Windows和UNIX系统，为其它攻击部署和工具提供入侵协助的组件平台；（vault7中出现次数：197）

Honeycomb：用于配合Hive，运行于linux系统的，针对Swindle或Blot代理服务器的数据收集处理脚本工具；（vault7中出现次数：78）

CutThroat：构建于代理服务器之上，用于向目标系统发送数据的虚拟机接口；（vault7中出现次数：232）

Bee Sting：用于HTTP连接中的iFrame注入工具；（vault7中出现次数：21）

Sontaran：用于针对西门子OpenStage数字电话进行入侵的工具；（vault7中出现次数：83）

Secret Squirrel (SQRL)：由远程研发部门RDB和嵌入式研发部门共同开发的工具，目前还不知晓具体用途 。

RDB部门涉及的黑客工具

Remote Development Branch（RDB，远程研发部门），Vault7文档中涉及该部门的数据相对较少。

Umbrage：一项团队模式的网络攻击平台，CIA技术人员通过该平台收集大量公开的黑客工具、攻击技术、一些泄露数据中包含的可用代码和相关思路方法，以此形成一个网络攻击特征库，可应用于网络攻击活动的调查取证。

另据其它媒体报道，CIA可以通过该特征库采取模仿、混淆等多种战术，发起针对目标系统的“虚假标记”网络攻击，故意留下蛛丝马迹，让人作出错误判断，达到迷惑敌人、嫁祸于人，隐藏自己的目的。（vault7中出现次数：46）

ShoulderSurfer：从MicrosoftExchange中提取数据的工具；（vault7中出现次数：43）

OSB（行动支持部门）涉及的黑客工具

Operational Support Branch，除了维护一些有用的软件工具之外，OSB部门还针对一些个别行动目标开发了通用的解决方案，这其中就包括一些对Windows系统和手机APP的入侵工具：

Time Stomper：用来在特定网络入侵行动中修改攻击载荷时间戳属性的工具；（vault7中出现次数：12）

Munge Payload：对攻击载荷进行加密和免杀处理的工具；（vault7中出现次数：65）

Magical Mutt：可以实现恶意DLL注入并能监控目标系统进程的工具；（vault7中出现次数：16）

Flash Bang：浏览器沙箱逃逸和劫持工具，当成功逃逸或劫持后，可以实现对目标系统的进一步提权操作；vault7中出现的次数：27

RickyBobby：以电影《塔拉德加之夜》中的角色RickyBobby命名，包含多种DLL攻击文件和执行脚本的一款轻量级的远控植入工具，可以实现对目标系统的端口监听、上传和下载和命令执行等功能；（vault7中出现次数：21）

Fight Club：在特定攻击活动中，利用移动载体作为传播中介，通过在VLC、WinRAR、TrueCrypt、Shamela和Microsoft Office等软件安装程序中捆绑RickyBobby远控，，实现控制感染目标系统的工具组件；（vault7中出现次数：21）

Melomy DriveIn：劫持VLC播放器DLL进程，间接植入RickyBobby远控；（vault7中出现次数：9）

Rain Maker：隐藏于绿色版VLC播放器程序中，利用移动载体作为感染传播中介，当用户向网络隔离的目标系统中插入感染U盘介质时，可以隐蔽实施对网络隔离系统的文件窃取和信息收集；（vault7中出现次数：101）

Improvise：支持Windows、Mac和Linux主流操作系统的数据收集和窃取工具，可以用于攻击配置、数据后处理、Payload调整设置和攻击方法选择的工具集。针对不同的攻击目标系统，还定义了极具酒吧韵味的名字：Margarita, Dancefloor, Jukebox；（vault7中出现次数：28）

Basic Bit：一款针对Windows系统的键盘记录工具；（vault7中出现次数：158）

Fine Dining：为执行入侵任务的技术特工提供的一系列定制服务，如生成一个伪装的PDF文档，利用该文档在目标Mac系统中执行文件搜集任务，或对特定程序执行DLL劫持；（vault7中出现次数：53）

HammerDrill：利用CD/DVD作为传播感染介质，通过向磁盘中写入恶意代码，实现对目标系统的感染控制；vault7中出现的次数：在HammerDrill v2.0版本中还有一项功能：若目标系统正在使用Nero进行软件刻录，就会在刻录的新盘中安装32-bit的隐藏木马程序；（vault7中出现次数：12）

Taxman ：（vault7中无介绍）

HyenasHurdle ：（vault7中无介绍）

AIB（自动植入部门）涉及的黑客工具

Automated Implant Branch，该部门负责一些植入类木马远控程序的研发，虽然涉及的大部分黑客工具未给出具体说明，但从部分曝光工具可以窥见其大概意图：

Frog Prince：全功能木马远控植入集成系统，包括C&C控制端、端口监听和植入软件；（vault7中出现次数：38）

Grasshopper：针对Windows系统的一个高度可配置木马远控植入工具；（vault7中出现次数：91）

Caterpillar：通过安全传输方式从目标系统获取文件的工具；（vault7中出现次数：85）

AntHill：似乎是一个远控植入软件用来进行文件管理的组件；（vault7中出现次数：28）

The Gibson：似乎是一个用来进行C&C控制和监听的程序组件；（vault7中出现次数：19）

Galleon：从目标计算机中把文件通过安全传输方式复制到控制端的一组脚本和工具集；（vault7中出现次数：38）

Assassin：（vault7中无介绍）

HercBeetle – （vault7中无介绍）

CandyMountain –（vault7中无介绍）

Hornet – （vault7中无介绍）

Cascade –（vault7中无介绍）

MagicVikings – （vault7中无介绍）

NDB（网络设备部门）涉及的黑客工具

Network Devices Branch，不像其它EDB、NDB部门一样有直观的上级主管部门说明，该部门的上级主管部门SED尚不明确。

AfterMidnight：一个使用DLL注入技术对Windows系统进行系统提权的工具套装；（vault7中出现次数：13）

Packrat：由开源或商业工具集成的一个实施自动监听的软件套装，可以适用于VMWare Workstation、VMWare ESXi、VirtualBox、OpenStack、KVM/QEMU、Docker、AWS、Google Compute Cloud等不同服务系统的配置监听；（vault7中出现次数：34）

RoidRage：针对Android 5.0以前的设备进行木马植入和漏洞利用的工具；（vault7中出现次数：104）

The.Net：包含一系列虚构公司名称，如Umbrella、Abstergo等，用于模拟真实内外网络通信的一个网络配置工具套装；（vault7中出现次数：1411）

Philosoraptor：尚不清楚具体用途，但从其“声称目的”可以看出，该工具用来描述和展示商业软件工具的独特性功能；（vault7中出现次数：32）

Marble Framework：用来对黑客软件的开发代码进行混淆处理、防止被归因调查取证的工具，与其它同类工具共同形成一个整体的混淆编码系统；（vault7中出现次数：66）

Kraken：似乎是用来对网络攻击活动进行项目管理和状态跟踪的工具；（vault7中出现次数：23）

Fluxwire：承包商提供分布式集成网络管理工具，用于对连接入网的设备进行状态管理和命令配置，支持9种类型的操作系统和6种架构模式（详细参见说明）；（vault7中出现次数：78）

Cocoon ：（vault7中无介绍）

Tremor ：（vault7中无介绍）

涉及iOS系统的黑客工具

Adderall：一款从iOS设备中提取文件和内核缓存的工具；（vault7中出现次数：132）

ElderPiggy：iOS系统提权工具；（vault7中出现次数：39）

NightVision：读取和记录iOS系统内核存储的工具；（vault7中出现次数：122）

Nightskies：通过CrunchyLimeSkies工具针对iOS系统进行木马植入的工具；（vault7中出现次数：83）

Mcnugget：针对iOS系统植入木马进行任务管理和控制的工具；（vault7中出现次数：174）

HAMR：针对移动操作系统进行浏览器漏洞利用的工具；（vault7中出现次数：139）

DRBOOM：针对iOS 8.2之前系统，进行单步木马植入的工具；（vault7中出现次数：9）

涉及Andriod系统的黑客工具

文档中提到，CIA针对Andriod系统开发了多个可利用漏洞，但这些漏洞信息已经经过编辑处理，所以，在此只对涉及的一些典型黑客工具作出介绍：

AngerQuake（后改名为AngerManagement）：针对Andriod系统，收集存在漏洞的浏览器插件，提供给HAMR工具执行漏洞利用；（vault7中出现次数：69）

Orion：针对Andriod系统的一个webkit漏洞利用工具，适用于Andriod4.0\4.1\4.2；（vault7中出现次数：35）

Freedroid：一款Andriod系统提权工具；（vault7中出现次数：86）

除此之外，针对Andriod系统，CIA还具有诸如Barracuda、FlameSkimmer、Spearow、Dragonfly等多种浏览器进行漏洞利用和入侵提权的工具，具体请点此参阅。

总结

从维基解密曝光的vault7文档中可知，CIA非常重视网络入侵技术能力建设，从工具设计、代码编写、程序部署、后期维护、攻击实施等多个方面，都把网络攻击活动当成一项系统化工程来进行实施；另外，从CIA组织架构来看，其各个分支部门分工明确、责任清晰、目标统一，虽然研究的重点各不相同，但最终又能形成针对各种网络攻击任务的团队协作和合力出击，威胁巨大。

据维基解密声称，后续还会对大量CIA数据进行公布曝光，Freebuf将持续关注该事件的最新进展，同时继续深入分析现有内容，第一时间披露相关信息。