CIA专攻物理隔离网络的工具“残忍的袋鼠”曝光

维基解密的年度大戏Vault 7虽然还没到周更的程度，但更新频率也已经相当频繁，所以后续CIA泄露工具和手册的出现已经让人见怪不怪了。本周Vault 7系列更新也算比较有看点，虽然早在今年3月份，维基解密在宣布Vault 7系列问世的时候就已经简单介绍过这次的Brutal Kangaroo（残忍的袋鼠？听起来很像Ubuntu的产品代号）。

维基解密昨天放出了“残忍的袋鼠”恶意程序工具集手册，这个工具集是用来专攻物理隔离网络的，或者说未接入互联网的网络的，目标主要就是企业和关键基础设施了。总的说来，其最初的攻击向量和震网Stuxnet蠕虫还是比较相似的。残忍的袋鼠主体包括了如下这些工具：

Drifting Deadline - 这是“残忍的袋鼠”工具集主体，包含一个GUI生成器，可用于生成所有必要的恶意程序； Shattered Assurance - 这是运行在已感染设备上的服务器组件，用Drifting Deadline生成的恶意程序来自动感染U盘（或移动存储设备）； Shadow - 在物理隔离网络中，将多台感染设备串联起来的工具，攻击者可定义一系列任务在离线计算机上执行；

“残忍的袋鼠”是怎么攻击的？

CIA的这系列工具主要针对物理隔离网络，其攻击流程还是比较复杂的，毕竟未接入互联网的设备在安全性上具备了先天优势：首先是用前面提到的Drifting Deadline，针对每个目标来生成第一和第二阶段的恶意程序。

然后就可以开始感染目标网络中的计算机了。文档中并未详述最初的感染方式，最初感染的方法可能会比较多样化，比如说首先感染企业中一台已经连接互联网的设备，在其上安装恶意程序。

这台被感染的设备在文档中被成为“primary host”，本质上就是个感染中心；然后就要等待企业内的员工在这台设备上插入U盘了，“残忍的袋鼠”组件采用恶意程序来感染这个U盘。如果这个U盘插到其它设备上，就会进行扩散感染，也就是恶意程序的第二阶段了。不过很容易想见，这个过程除非安插了内鬼，否则多少还是需要些运气的，尤其是U盘要插到primary host之上，还要插到物理隔离的设备之上。

第二阶段的恶意程序投递就和震网很相似了，都是利用恶意构造的Windows LNK快捷方式文件来传播。这些LNK文件只要在Windows资源管理器窗口中显示就能自动执行恶意payload。

负责这部分攻击的有2个exploit，分别名为Giraffe和Okabi，两者都支持32位和64位架构。不过Drifting Deadline手册中提到，后者似乎更为高效，因为它支持Windows 7/8/8.1，而Giraffe的执行向量已经在绝大部分Windows系统中修复，基本上就只对Windows XP有效。随后收集数据的过程就开始了。

被感染的设备可以协同作战

其实“残忍的袋鼠”精华所在是感染物理隔离网络之后，将其中多台感染了这只“袋鼠”的设备联合起来。实现这个特性就需要用到文首提到的Shadow工具了。手册中有描述：

“一旦多个Shadow实例得以安装，则任务和payload就能来回传送了（sent back-and-forth）。”在最初的Shadow任务执行，并且获取到一批数据之后（数据收集和分析是通过Broken Promise模块——这个模块安装在primary host之上），CIA方面就可以向被感染的物理隔离网络发出新的指令。维基解密提到：

“如果隔离网络中的多台设备都已经被CIA控制，这些设备就能组成秘密的网络来合作任务并进行数据交换。虽然文档中并未明确做出说明，但这种入侵隔离网络的方式和震网还是非常相似。”

Shadow的新任务可以用上图所示的生成器来配置，和第一阶段的Drifting Deadline类似。新版Shadow恶意程序就如此生成了，其中可以包含最新的恶意程序指令。至于新版本的Shadow感染方法，还是要从上面的第一阶段开始，感染USB设备来投递新的Shadow版本到物理隔离网络中。

CIA或许已经开发出了新版本？

Drifting Deadline手册中提到，截至2016年2月23日，已经有多款反病毒产品能够检测出“残忍的袋鼠”恶意程序，包括Avira、Bitdefender、赛门铁克等。而且实际上今年2月份，微软就发布了多款修复LNK文件处理的漏洞，本月也发布了一个。

这些已经让Giraffe和Okabi攻击无法再生效了，CIA或许早就已经开发出了新的版本。

今年早前，我们在快讯中也提到维基解密承诺会和软件供应商合作来修复Vault 7文档中提到的漏洞。不知道微软这两个月推的补丁，是否是与维基解密合作的结果。这次“残忍的袋鼠”也是Vault 7系列文档的其中一个组成部分。感兴趣的同学请等待后续的Vault 7更新吧，维基解密的更新效率还是相当高的。