CIA Vault7泄露文档第五波:多平台入侵植入和管理控制工具HIVE

最近,NSA和CIA的网络武器都被捅娄子了,4月14日,就在ShadowBroker公布第二批NSA网络大杀器的同一天,维基解密继续公布了Vault7系列名为HIVE(蜂巢)的CIA网络工具相关文档。文档共6份,包括了HIVE的开发使用和配置工作文档等,最早版本记录可追溯到2015年10月。

HIVE是CIA计算机网络行动小组(COG)在执行远程目标任务时使用的一个协助平台,由CIA嵌入式研发部门(EDB)开发,可以提供针对Windows、Solaris、MikroTik(路由器OS)、Linux和AVTech网络视频监控等系统的定制植入程序,并能实现多种平台植入任务的后台控制工作,协助CIA从植入恶意软件的目标机器中以HTTPS协议和数据加密方式执行命令和窃取数据。其自身具备的HTTPS协议接口为网络入侵行为增添了隐蔽掩护性。

曾有一些杀软公司和安全专家通过网络入侵行为,侦测到了一些国家级别的网络攻击活动使用了类似HIVE的攻击架构,但之前却一直无法准确溯源。而就在最近,赛门铁克研究人员通过对vault7文档的调查后发现,CIA可能就是操控运行黑客组织Longhorn的幕后黑手,Longhorn曾对至少16个国家的40个目标系统发起过攻击。赛门铁克报告中对Longhorn的网络攻击架构是这样描述的:

在网络入侵活动中,对远程控制C&C端来说,Longhorn会单独为每个目标分配一个特定的IP和域名组合。有些奇怪的是,为了隐匿身份和行为,这些域名看似是由攻击者自己注册的,但这些IP地址都指向正规VPS和网站托管商。这些入侵活动中涉及的恶意软件,在与远端C&C服务器之间的交流通信却是HTTPS方式,而且使用了自定义的底层加密协议来进行伪装。

此次HIVE工具相关文档的曝光更为之前杀软公司和安全专家的分析提供了佐证。

HIVE工作原理

HIVE的攻击原理为在TCP/UDP协议通信中,执行XOR和其它加密算法,通过军工商诺斯·格鲁曼(Northrop Grumman)研发的代理架构BLOT和一个名为Switchblade的中间架构,在入侵目标与CIA远程控制端进行隐蔽通信和管理控制。其中,所有的C&C通信又通过BLOT架构配置的Apache服务器和域名中转脚本进行回连控制,而且为了增强隐蔽性,所有HIVE使用的IP地址都可以在VPS系统内完成重定向动作。

BLOT架构描述

每一个被植入恶意软件的入侵目标,在与C&C端进行反弹连接时,在VPS系统内由其自身携带的反弹信息被指定适配域名和重定向更改,之后,这些域名流量信息又会到达BLOT的代理通道。由于在VPS系统内经过重定向更改,端口等信标信息都会被重新更改之后发送给BLOT架构,如之前通过80端口连接某域名,那么重定向更改发送给BLOT时,可能就是8001端口。BLOT架构看似就像一个流量中转处理器,当它接收到有效且重要信标后,就会发送给Honeycomb进行后端处理,并且,所有流量最终都会镜像发送至隐蔽的Apache服务器(Cover server)。

Switchblade架构描述

Switchblade是一个能与其它代理服务进行交流通信的认证代理,它使用自签名证书,还能与Nginx和Linux服务器的流量数据进行交互处理,在入侵目标和C&C端服务器(Cover server)之间增加隐蔽性。

HIVE工具相关文档下载:PAN,提取码:qw1t

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-04-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏web前端教室

【视频更新】ReactJs-第3节-组件&props

想加入先行者计划学习的同学,可以看这里,《2018_先行者计划 - 内容介绍(长文慎读)》

9000
来自专栏数据和云

DBA生存警示:备份级误操作案例及防范建议

编辑手记:对于资深的老DBA们,他们在漫长的职业生涯中养成了很多稀奇古怪的守则,以在复杂多变的环境中“幸存”,这源于无数血泪的教训,我曾经在《数据安全警示录》一...

31390
来自专栏北京马哥教育

动画演示9个超有趣的Linux命令

作者 | 佚名 来源 | 51CTO 糖豆贴心提醒,本文阅读时间6分钟,文末有秘密! Linux最强大的一个特征就是它有大量的各种小命令工具,这也可以称做是...

43190
来自专栏菜鸟程序员

如何像黑客军团主角那样将文件隐藏在音频中

18740
来自专栏玄魂工作室

CTF实战31 综合实战和讲解一

该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关

11310
来自专栏顶级程序员

开源软件原来都这样命名的!Python最独特,Debian最浪漫,PHP简单粗暴......

如我们平常所看到的品牌名称一样,例如“Kleenex”或“百事可乐”,开源世界也拥有自己独特的名称,这些名称背后真正的起源,我们通常并不在意。

10940
来自专栏华章科技

600万密码泄露之后,我们该如何保护自己的密码?

近日,乌云网曝出大麦网(damai.com)用户密码数据库在网上公开售卖,涉及用户多达600余万!

7920
来自专栏友弟技术工作室

工欲善其事,必先利其器之------MAC工具类

前面分享了一篇《工欲善其事,必先利其器之------Ubuntu工具类》,今天分享MAC的工具。 由于我是一个程序员可能,工具偏开发一点。 ? 通用类的工具 ...

38380
来自专栏zhisheng

MacBook Pro 初体验

背景 在 Mac 到手之前就在各种群里看到人说 Mac 多好用,也有很多人鼓吹过 Mac 的好处,最后也坚定我的年前目标了 —— 就是买台 Mac,之前请原谅我...

37670
来自专栏FreeBuf

如何像黑客军团主角那样将文件隐藏在音频中

这些年来黑客军团(Mr. Robot)一直是我最喜欢的电视剧,演员Rami Malek所扮演的有社交焦虑症,游离于肤浅而物质的社会之边缘却又想让世界更美好的年轻...

27380

扫码关注云+社区

领取腾讯云代金券