维基解密更新:CIA新工具HighRise可轻松窃取安卓设备短信

本周四,维基解密又更新了一款CIA Vault 7 系列新工具 HighRise(摩天大楼)。这是一款安卓恶意程序,可以拦截 SMS 消息并将其重定向至远程的 CIA 服务器上。有很多IOC 工具可以利用短信在植入的APP和监听 POST之间进行通信,而 HighRise 相当于一个SMS短信代理,将“收到”和“发出”的 SMS短信息代理到互联网LP中,进而在目标设备和监听站(LP)之间进行更大的隔离。同时,HighRise 在自身操作者和监听站之间建立一个基于 TLS/SSL 安全网络通信的信道。

根据维基解密的揭秘的 CIA HighRise 工具手册<点击阅读原文查看链接>,HighRise 目前只在安卓 4.0 到 4.3 版本上运行 (包括 Android 4.0 冰激凌三明治和 Android 4.1 果冻豆版本),这些版本占目前安卓市场的8.8%。但事实上,HighRise 的文件详情却显示,这个恶意程序在 2013 年 12 月就已经创建,并在这四年来与安卓各版本同步更新,以便在安卓最新版本中运行。

HighRise 的运作方式

一般来说,恶意软件通过内部连接把从被入侵设备中盗取的信息发送给由攻击者控制的服务器(监听站),但在智能手机的案例中,恶意软件也能通过发送短信等方式将被盗数据传给攻击者。但要通过短信收集被盗数据,就需要筛选并分析从多个目标设备中收到的大量信息。为解决这个问题,CIA 就创建了一个 APP ,作为被入侵设备和监听站服务器之间的短信代理。

HighRise 就来源于一个名为 TideCheck 的 APP (tidecheck-2.0.apk MD5: 05ed39b0f1e578986b1169537f0a66fe),用于从被入侵设备中通过短信接收所有的被盗数据。这个 APP 需要手动安装,并至少需要一次手动启动才能保证 HighRise 持久运行。HighRise 这么麻烦的安装和启动过程可以表明其目的并非是为了进行社会工程学攻击。

首次启动 HighRise 时,CIA 员工必须输入特殊代码进行设置。这个特殊代码是 “inshallah” ,意思是 “神的旨意” 。

代码输入之后,就会展示配置页面,页面上有三个按钮,如下图

其中:

initialize(初始化)——可以启动 HighRise 工具; Show Configuration(显示/编辑配置) —显示并编辑 HighRise 的配置文件,包括必须使用 HTTPS 的监听站服务器URL; Send MEssage(发送信息)——允许操作者从手机端向 CIA 控制的远程服务器发送短信。

正确初始化并配置后,TideCheck APP 就会持续在后台运行并监控来自被入侵设备的信息;接收后就会将每条信息通过一个TLS/SSL安全互联网通信信道转发给CIA的监听站服务器。

参照维基解密泄露的手册, HighRise 的主要特征如下:

1. 向CIA控制的联网服务器发送手机收件箱的所有信息; 2. 通过 HighRise 主机从被入侵的手机端发送SMS消息; 3. 为HighRise 操作者和监听站之间提供通信信道; 4. 利用TLS/SSL安全互联网通信。

基于后两个特征,HighRise 严格意义上说并非是安装在被入侵手机上的工具,而是可以安装在CIA员工手机上的一款APP,可以为操作者和监听者之间提供二级、加密的通信信道。

其他 Vault 7 系列工具

维基解密周四泄露的文件仅仅是CIA Vault 7 系列文件中的一小部分。此前,FreeBuf 也一直关注维基解密的更新,并给出了一系列报道,感兴趣的朋友可以去主站搜索维基解密关键词,查看相关文章。

以下是维基解密揭露的 CIA Vault 7 系列工具列表<点击阅读原文查相关链接>:

ᗙ BothanSpy & Gyrfalcon - 窃取 SSH 登录凭证的工具(2017.7.6) ᗙ OutlawCountry - 入侵 Linux 系统的工具(2017.6.30) ᗙ ELSA - 可以对 Windows 用户实施定位的恶意软件(2017.6.28) ᗙ Brutal Kangaroo - 入侵隔离网络的工具(2017.6.22) ᗙ CherryBlossom - 入侵 SOHO 无线路由器的工具(2017.6.15) ᗙ Pandemic - 用恶意程序代替合法文件的工具(2017.6.1) ᗙ Athena - 与某美国公司共同开发的恶意软件框架(2017.5.19) ᗙ AfterMidnight and Assassin —— Windows 恶意软件框架(2017.5.12) ᗙ Archimedes —— 实施中间人攻击的工具(2017.5.5) ᗙ Scribble —— Office 文档追踪工具(2017.4.28) ᗙ Weeping Angel ——入侵 Samsung 智能电视的工具(2017.4.21) ᗙ HIVE—— 多平台入侵植入和管理控制工具(2017.4.14) ᗙ Grasshopper —— Windows 恶意软件生成器(2017.4.7) ᗙ Marble Framework —— 秘密反监识框架(2017.3.31) ᗙ Dark Matter —— 入侵 iPhone 和 Mac 的工具(2017.3.23)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-07-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

谁蹭了我的WiFi?浅谈家用无线路由器攻防

家用无线路由器作为家庭里不可或缺的网络设备,在给普通人带来极大便利的同时,也给处于互联网时代的我们带来了很多安全隐患,本文将针对普通家用无线路由器的常见攻击过程...

38470
来自专栏安恒信息

研究人员发现攻击4G无线上网卡和SIM卡的方法

Positive Technologies的研究者在欧洲黑客联盟(Chaos Computer Club)会议上披露了4G USB无线上网卡中存在漏洞,攻击者可...

30760
来自专栏FreeBuf

革命性创新?走近“高水准”新型勒索软件Spora

勒索软件几乎每周都会增加新的“家族成员”,这类威胁的影响力不断上升。Emsisoft(奥地利的信息安全公司,主营业务有反恶意软件、互联网安全、应急响应、移动安全...

20260
来自专栏FreeBuf

国产工具:渗透测试助手PKAV HTTP Fuzzer发布

渗透测试的各位高手们,是不是还在为找不到一个好帮手而郁闷呢?别郁闷了,我来帮你!PKAV HTTP Fuzzer绝对是一你一用就会爱上的好帮手! 但是我们开发这...

1.3K100
来自专栏黑白安全

kail洪水攻击

在计算机行业,拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击是指不法分子企图让某机器或网络资源无法被预期的用户所使用。虽然执行DoS攻击的方式、动机和目标不...

13420
来自专栏沈唁志

整合ThinkPHP功能系列之微信企业付款至用户零钱银行卡

62340

RansomWeb:一种新兴的网站威胁

越来越多的人成为勒索软件的受害者,勒索软件是一种加密你的数据并要求支付资金解密的恶意软件。最新趋势表明,网络犯罪分子现在也将瞄准您的网站以获得您的赎金。

14230
来自专栏黑白安全

总结常见的10种破解密码方法

为了防止键盘记录工具,产生了使用鼠标和图片录入密码的方式,这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置,通过记录鼠标位置对比截屏的图片,从而...

82720
来自专栏CreateAMind

汽车CAN协议hacking

作者: Eric Evenchick 翻译:看雪论坛『智能设备应用』版主:gjden

23530
来自专栏FreeBuf

远离Flash,远离危险:从Flash 0day漏洞披露到集成渗透工具包,仅用4天

6月27日,渗透测试工具包Magnitude已经成功Adobe Flash Player 0day漏洞,而这个时间仅在Adobe发布修复漏洞补丁后的四天,工具包...

21790

扫码关注云+社区

领取腾讯云代金券