Vault 7系列“阴影”项目曝光:雷神公司暗中为CIA提供恶意程序分析

本周三(7 月 19 日),维基解密照例披露了 CIA Vault 7 系列文件,不过与以往直接披露的工具有所不同,这次主要披露的是 CIA 的“阴影”(UMBRAGE)项目以及 在项目中 CIA 承包商 Raytheon Blackbird Technologies 作出的详细恶意程序分析报告。

Raytheon Blackbird Technologies 的前身是美国大型国防合约商 Raytheon(雷神公司)。Raytheon 于 2014 年 11 月收购了网络安全公司 Blackbird Technologies,并成立Raytheon Blackbird Technologies,专注于分析高级恶意软件和 TTPs(即 Tactics、Techniques、Procedures,主要指网络攻击的策略、技术与过程) 。根据约定,这家公司向 CIA 提供已经发现的一些的恶意软件分析报告。文档显示,2014 年 11 月到 2015 年 9 月期间,Raytheon Blackbird Technologies 至少向 CIA 提交了五份报告,这些分析报告都是 CIA UMBRAGE(阴影)项目的一部分。

之前维基解密所泄露的 Vault 7 相关数据表明,CIA 的 UMBRAGE 小组专门执行 false flag 行动 (假旗行动:是隐蔽行动的一种,指通过使用其他组织的旗帜、制服等手段误导公众以为该行动由其他组织所执行的行动),进而隐藏攻击手段,对抗调查取证。CIA 有个远程设备组( Remote Devices Branch ),这个小组维护一个网络攻击模式库,该模式库搜集、总结了之前使用过的攻击方式和技术,例如 Hacking Team 事件中泄露的代码和俄罗斯使用的技术。拥有了庞大数量的模式库之后,新发起网络攻击时,就可以采取模仿,混淆等多种战术,达到迷惑敌人,隐藏自己的目的。

UMBRAGE 项目就由该小组进行维护,项目中收录了多种恶意软件攻击技术,例如:键盘记录、密码收集、网络摄像头捕获与控制、数据销毁、持久性感染、提权、隐蔽攻击、反杀毒软件等等。

2017 年 7 月 19 日,维基解密公布 CIA 关于“阴影恶意软件功能模块库”项目的文档,文档来自 CIA 承包商 Raytheon Blackbird Technologies ,从 2014 年 11 月 21 日(就在Raytheon Blackbird Technologies 公司成立后的第三周)起开始提交并更新,到 2015 年 9 月 11 日才停止。这些文档主要涉及 PoC 验证、恶意软件攻击向量评估等,其中一部分参考资料来自一些安全公司或安全研究员所发布的关于网络攻击的公开分析文档。 Raytheon Blackbird Technologies 在 CIA 的远程设备组中充当“技术侦查员”,分析已被发现的恶意攻击,并就 CIA 自身恶意软件的进一步利用和 PoC 开发提供建议。

当然,该公司的专家也会向自家公司提供 PoC 想法和恶意软件攻击向量。这些专家认为,CIA 委托承包商搜集恶意软件信息并提交给远程设备小组,主要是为了协助该小组开发、提升 CIA 自己的网络攻击技术。

Raytheon 提交给 CIA 的五份报告简介:

报告 1

在这份报告中, Raytheon 的研究员详细分析并记录了 HTTPBrowser RAT 变种,黑客组织“熊猫使者”(PANDA EMISSARY) 曾利用这个 RAT 工具发起攻击。新的变种出现于 2015 年 3 月,通过未知的初始攻击向量展开攻击,主要目的是捕捉、搜集击键记录。

报告 2

这份报告详细说明了SAMURAI PANDA APT 组织所利用的 NfLog RAT(也叫 IsSpace ) 的新变种。这个变种使用了 Hacking Team 的 Flash 0-day exploit,该 exploit 利用 CVE-2015-5122 漏洞,并结合 UAC 绕过技术,可以嗅探或枚举代理凭证,进而绕过 Windows 防火墙。同时,这个变种还利用 Google App Engine 进行 C2 服务器代理通信。

报告 3

这份报告是针对间谍工具 “Regin” 的深度分析。Regin 最初于 2013 年发现,主要用于监控和数据搜集,据说比 Stuxnet 和 Duqu 更加复杂。有人认为,Regin 是 NSA 情报机构自己开发的间谍工具。

研究人员最早于 2013 年检测到 Regin 的活动,但数据显示,早在 2008 年 Regin 就已经很活跃了。不过,大多数人默认目前版本的 Regin 起源于 2013 年。Regin 的模块架构很有特色,具有高度灵活性,让操作者进行针对特定个人的监控(定制化特点)。此外,Regin 隐蔽性好,时间持久,有一部分攻击功能仅通过常驻内存(memory resident)实现。

报告 4

这份报告详细分析了 2015 年年初发现的一款 “HammerToss” 恶意软件。据称,“HammerToss” 是俄罗斯政府支持的黑客所开发的恶意程序,自 2014 年年末就开始活动。

“HammerToss” 的有趣之处在于它的架构。它可以利用 Twitter 账号、Github 账号、被入侵的网站、基本隐写术以及云储存功能等实现 C2 通讯,进而在被攻击的目标系统中执行命令。

报告 5

这份报告详细分析了信息窃取木马 “Gamker”。

“Gamker” 利用自我编码注入和 API hooking 的方式实现攻击。2015 年 8 月,Virus Bulletin 公司针对 “Gamker” 给出了长达三页的详细技术分析,与其他厂商给出的 30 多页的分析相比,这三页的分析反而更有技术含量。可推荐继续关注 Virus Bulletin,关注他们的更多报告。

以下是维基解密披露 Vault 7 系列文档的时间线,详细报道可以点击关键词超链接进行阅读:

ᗙ HighRise - 拦截 SMS 消息并重定向至远程 CIA 服务器的安卓恶意程序(2017.7.13) ᗙ BothanSpy & Gyrfalcon - 窃取 SSH 登录凭证的工具(2017.7.6) ᗙ OutlawCountry - 入侵 Linux 系统的工具(2017.6.30) ᗙ ELSA - 可以对 Windows 用户实施定位的恶意软件(2017.6.28) ᗙ Brutal Kangaroo - 入侵隔离网络的工具(2017.6.22) ᗙ CherryBlossom - 入侵 SOHO 无线路由器的工具(2017.6.15) ᗙ Pandemic - 用恶意程序代替合法文件的工具(2017.6.1) ᗙ Athena - 与某美国公司共同开发的恶意软件框架(2017.5.19) ᗙ AfterMidnight and Assassin —— Windows 恶意软件框架(2017.5.12) ᗙ Archimedes —— 实施中间人攻击的工具(2017.5.5) ᗙ Scribble —— Office 文档追踪工具(2017.4.28) ᗙ Weeping Angel ——入侵 Samsung 智能电视的工具(2017.4.21) ᗙ HIVE—— 多平台入侵植入和管理控制工具(2017.4.14) ᗙ Grasshopper —— Windows 恶意软件生成器(2017.4.7) ᗙ Marble Framework —— 秘密反监识框架(2017.3.31) ᗙ Dark Matter —— 入侵 iPhone 和 Mac 的工具(2017.3.23)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-07-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

13个有用的渗透测试资源博客

渗透测试是寻找能够用来攻击应用程序、网络和系统的漏洞的过程,其目的是检测会被黑客攻击的安全脆弱点。渗透测试可以检测如下内容:系统对攻击的反应,存在哪些会被攻击的...

400100
来自专栏腾讯数据中心

微软LES供电架构介绍(下)

接上篇,我们将继续为您介绍微软LES供电架构 ? 图6 LES电源的各个指标介绍 如图6所示的LES分布式供电架构的一些主要规格是: 1、满足35秒满载备电时...

473100
来自专栏程序员的知识天地

近 5 亿人的开房隐私被暴露,只因程序员的一个小失误!

不久前,暗网论坛中有人发帖公开出售华住旗下所有酒店的数据,包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家连锁...

18220
来自专栏FreeBuf

大数据安全分析的前世今生

*本文原创作者:木千之,本文未经许可禁止转载 引言 截止到2012年,全球数据量已经从TB(1024GB=1TB)级别跃升到PB(1024TB=1PB)、EB(...

24880
来自专栏FreeBuf

IBM X-Force发现新型银行木马IcedID

近日,IBM X-Force研究团队在一项针对最近一系列攻击美国金融机构的案例中发现了一款新型银行木马,并将其命名为“IcedID”,该银行木马目前似乎还正处于...

24350
来自专栏FreeBuf

特别企划 | 勒索界面进化史:聊聊勒索软件中运用的心理学机制

如果说有哪个词汇能同时让终端用户、安全专家以及企业信息主管感到恐惧,它可能就是——勒索软件。 安全圈内早已听说过 Archievus、Reveton、Crypt...

25460
来自专栏漏斗社区

专属| 具有僵尸网络功能的新蠕虫现身

日前,研究团队发现了一种新的恶意软件,能够针对Linux和Windows服务器,将加密货币挖掘,僵尸网络和勒索软件功能结合在一个自我扩展的蠕虫软件包中。Xbas...

11820
来自专栏即时通讯技术

技术往事:改变世界的TCP/IP协议(珍贵多图、手机慎点)1、前言 2、TCP/IP协议简介3、TCP/IP协议之父4、见证互联网诞生5、TCP/IP让网络变成真正的“互联网”6、如今的互联网7、通过

作为应用层开发人员,接触最多的网络协议通常都是传输层的TCP(与之同处一层的另一个重要协议是UDP协议),但对于IP协议,对于应用程序员来说更多的印象还是IP地...

15320

网络分段如何网络系统帮助企业家应对勒索软件风险

几个月前,我们的孩子所在的南卡罗来纳州最大的学区之一的,网络系统受到了携带病毒的勒索软件的攻击,这个“ 勒索软件”是一种恶意软件,攻击者通过加密获取访问权限的数...

9400
来自专栏空帆船w

印象笔记终于支持 Markdown 了

2018 年 8 月 3 日,印象笔记举办六周年庆祝活动,印象笔记官方现场展示了新版 App,新增专为中国用户开发的 Markdown 、电脑端密码锁、Widg...

39020

扫码关注云+社区

领取腾讯云代金券