前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >CIA专攻物理隔离网络的工具“残忍的袋鼠”曝光

CIA专攻物理隔离网络的工具“残忍的袋鼠”曝光

作者头像
FB客服
发布2018-02-28 15:35:26
8680
发布2018-02-28 15:35:26
举报
文章被收录于专栏:FreeBuf

维基解密的年度大戏Vault 7虽然还没到周更的程度,但更新频率也已经相当频繁,所以后续CIA泄露工具和手册的出现已经让人见怪不怪了。本周Vault 7系列更新也算比较有看点,虽然早在今年3月份,维基解密在宣布Vault 7系列问世的时候就已经简单介绍过这次的Brutal Kangaroo(残忍的袋鼠?听起来很像Ubuntu的产品代号)。

维基解密昨天放出了“残忍的袋鼠”恶意程序工具集手册,这个工具集是用来专攻物理隔离网络的,或者说未接入互联网的网络的,目标主要就是企业和关键基础设施了。总的说来,其最初的攻击向量和震网Stuxnet蠕虫还是比较相似的。残忍的袋鼠主体包括了如下这些工具:

Drifting Deadline - 这是“残忍的袋鼠”工具集主体,包含一个GUI生成器,可用于生成所有必要的恶意程序; Shattered Assurance - 这是运行在已感染设备上的服务器组件,用Drifting Deadline生成的恶意程序来自动感染U盘(或移动存储设备); Shadow - 在物理隔离网络中,将多台感染设备串联起来的工具,攻击者可定义一系列任务在离线计算机上执行;

“残忍的袋鼠”是怎么攻击的?

CIA的这系列工具主要针对物理隔离网络,其攻击流程还是比较复杂的,毕竟未接入互联网的设备在安全性上具备了先天优势:首先是用前面提到的Drifting Deadline,针对每个目标来生成第一和第二阶段的恶意程序。

然后就可以开始感染目标网络中的计算机了。文档中并未详述最初的感染方式,最初感染的方法可能会比较多样化,比如说首先感染企业中一台已经连接互联网的设备,在其上安装恶意程序。

这台被感染的设备在文档中被成为“primary host”,本质上就是个感染中心;然后就要等待企业内的员工在这台设备上插入U盘了,“残忍的袋鼠”组件采用恶意程序来感染这个U盘。如果这个U盘插到其它设备上,就会进行扩散感染,也就是恶意程序的第二阶段了。不过很容易想见,这个过程除非安插了内鬼,否则多少还是需要些运气的,尤其是U盘要插到primary host之上,还要插到物理隔离的设备之上。

第二阶段的恶意程序投递就和震网很相似了,都是利用恶意构造的Windows LNK快捷方式文件来传播。这些LNK文件只要在Windows资源管理器窗口中显示就能自动执行恶意payload。

负责这部分攻击的有2个exploit,分别名为Giraffe和Okabi,两者都支持32位和64位架构。不过Drifting Deadline手册中提到,后者似乎更为高效,因为它支持Windows 7/8/8.1,而Giraffe的执行向量已经在绝大部分Windows系统中修复,基本上就只对Windows XP有效。随后收集数据的过程就开始了。

被感染的设备可以协同作战

其实“残忍的袋鼠”精华所在是感染物理隔离网络之后,将其中多台感染了这只“袋鼠”的设备联合起来。实现这个特性就需要用到文首提到的Shadow工具了。手册中有描述:

“一旦多个Shadow实例得以安装,则任务和payload就能来回传送了(sent back-and-forth)。”在最初的Shadow任务执行,并且获取到一批数据之后(数据收集和分析是通过Broken Promise模块——这个模块安装在primary host之上),CIA方面就可以向被感染的物理隔离网络发出新的指令。维基解密提到:

“如果隔离网络中的多台设备都已经被CIA控制,这些设备就能组成秘密的网络来合作任务并进行数据交换。虽然文档中并未明确做出说明,但这种入侵隔离网络的方式和震网还是非常相似。”

Shadow的新任务可以用上图所示的生成器来配置,和第一阶段的Drifting Deadline类似。新版Shadow恶意程序就如此生成了,其中可以包含最新的恶意程序指令。至于新版本的Shadow感染方法,还是要从上面的第一阶段开始,感染USB设备来投递新的Shadow版本到物理隔离网络中。

CIA或许已经开发出了新版本?

Drifting Deadline手册中提到,截至2016年2月23日,已经有多款反病毒产品能够检测出“残忍的袋鼠”恶意程序,包括Avira、Bitdefender、赛门铁克等。而且实际上今年2月份,微软就发布了多款修复LNK文件处理的漏洞,本月也发布了一个。

这些已经让Giraffe和Okabi攻击无法再生效了,CIA或许早就已经开发出了新的版本。

今年早前,我们在快讯中也提到维基解密承诺会和软件供应商合作来修复Vault 7文档中提到的漏洞。不知道微软这两个月推的补丁,是否是与维基解密合作的结果。这次“残忍的袋鼠”也是Vault 7系列文档的其中一个组成部分。感兴趣的同学请等待后续的Vault 7更新吧,维基解密的更新效率还是相当高的。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2017-06-23,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • “残忍的袋鼠”是怎么攻击的?
  • 被感染的设备可以协同作战
  • CIA或许已经开发出了新版本?
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档