CIA 新一波工具AngelFire： 针对Windows系统的永久恶意框架

本周，维基解密发布了新一款 CIA 工具 AngelFire。AngelFire 是一款框架植入工具，可以作为永久后门留存在被感染系统的分区引导扇区中，对目标系统进行永久远程控制。泄露的用户手册显示，AngelFire 需要获得管理员权限才能成功入侵目标系统。

与此前的 Grasshopper、ELSA、 After Midnight 类似，AngelFire 也是一款永久性框架，可以在目标系统（Windows XP 与 Windows 7）中加载并执行定制的注入程序。

AngelFire 有五个组成部分：

1. Solartime — 修改分区引导扇区，让系统每次加载引导设备驱动时，能加载并执行 Wolfcreek （内核代码）； 2. Wolfcreek — 自动加载驱动（即 Solartime 执行的内核代码），可以加载其他驱动和用户模式的应用；加载其他驱动和应用时，就能创建可以在被感染机器上检测到的内存泄漏； 3. Keystone — Wolfcreek 的一部分，利用 DLL 注入功能，直接在系统内存中执行恶意用户应用，无需将恶意程序存储进文件系统。创建的进程被命名为 svchost.exe，且所有的内容都是连续的，包含 svchost.exe 实例（如图片路径和父进程等）。 4. BadMFS — 在活动分区结尾（新版本BadMFS中会使用硬盘中的某个文件）创建隐藏的文件系统，存储 Wolfcreek 启动的所有驱动程序和植入程序；所有这些文件都经过了混淆和加密避免通过字符串和PE头扫描特征； 5. Windows Transitory File system — 用于安装 AngelFire，可作为 BadMFS 的替代方法。CIA 特工可利用这个方法创建一些临时文件，而不用像BadMFS一样把他们存在隐蔽的文件系统中。这些文件可能是执行各种操作需要的文件，比如安装、向 AngelFire 添加文件、从 AngelFire 移除文件等。这些临时文件存在 “UserInstallApp”中。

文档显示， AngelFire 可以入侵 32 位的 Windows XP 和 Windows 7，以及 64 位的 Windows Server 2008 R2 和 Windows 7。AngelFire 有两个安装版本：可执行的安装版本和 fire-and-collect .dll 安装版本。

事实上，与 CIA 其他入侵 Windows 系统的工具相比，AngelFire 有一些不足。例如，一些安全产品可以通过名为 “zf”的文件检测到 BadMFSB 文件系统；在 AngelFire 其中一个组件崩溃时，用户也能看到弹框警告。

此外， Keystone 组件利用“C:\Windows\system32\svchost.exe” 进程作为伪装，但是，如果 Windows 系统路径存在于 D 盘等其他分区，这个伪装进程就无法进行对应调整；此外 Windows XP 系统并不支持永久 DLL 注入。

其他Vault 7 CIA工具

自今年3月7日开始，维基解密开始使用一个新的代号 Vault 7 作为美国中情局（CIA）的敏感信息披露计划。根据维基解密的阐述，这些泄露的文件中包含了大量 0day，恶意软件，病毒，木马以及相关文档的高度机密资料，在美国政府黑客和承包商之间传播，其中有人向维基解密提交了这份绝密档案的部分内容。

自项目开始以来，维基解密已经共计公布了 24 批 Vault 7 系列文件，详情可点击阅读原文查看：

AngelFire – 框架植入工具，对目标系统进行永久远程控制（2017.08.31） ExpressLane – 监控包括 FBI、DHS 和 NSA 等在内的情报联络机构并搜集数据的工具（2017.08.25） CouchPotato – 窃取RTSP/H.264视频流工具（2017.8.10） Dumbo – 用来关闭摄像头监控的工具（2017.8.3） Imperial – 三款后门工具（2017.7.28） UMBRAGE / Raytheon Blackbird – CIA 承包商 Raytheon Blackbird Technologies 为 UMBRAGE 项目提供的恶意程序详细解析文档 （2017.7.19） HighRise – 拦截 SMS 消息并重定向至远程 CIA 服务器的安卓恶意程序（2017.7.13） BothanSpy & Gyrfalcon – 窃取 SSH 登录凭证的工具（2017.7.6） OutlawCountry – 入侵 Linux 系统的工具（2017.6.30） ELSA - 可以对 Windows 用户实施定位的恶意软件（2017.6.28） Brutal Kangaroo – 针对企业或组织中网络隔离Windows主机的CIA工具。（2017.6.22） Cherry Blossom – 一款能够远程控制的基于固件的植入工具，利用Wifi设备中的漏洞监控目标系统的网络活动（2017.6.15） Pandemic – CIA用它吧Windows文件服务器变成攻击主机，从而感染局域网内的其他主机（2017.6.1） Athena – 一个间谍软件框架，能够远程控制感染Windows主机，并且支持所有Windows操作系统，从Windows XP到Windows 10。（2017.5.19） AfterMidnight和Assassin – CIA的两个恶意软件框架，针对Windows平台，能够监控、回传感染主机的操作并且执行恶意代码（2017.5.12） Archimedes – 局域网内进行中间人攻击的工具（2017.5.5） Scribbles – 一款将web beacons加入加密文档的工具，以便CIA黑客追踪泄密者（2017.4.28） Weeping Angel – 将智能电视的麦克风转变为监控工具。利用此工具，CIA黑客能够将打开居民家中的智能电视（而且是在用户以为电视关闭的情况下），并窃听人们的对话。（2017.4.21） HIVE—— 多平台入侵植入和管理控制工具（2017.4.14） Grasshopper – 一款框架，CIA用它来创建针对Windows的恶意软件并且绕过杀毒软件(2017.4.7) Marble – 一款秘密反取证的框架，对恶意软件的真实来源进行混淆（2017.3.31） Dark Matter – 针对iPhone和Mac电脑的入侵工具（2017.3.23） Year Zero – CIA针对硬件和软件的漏洞利用工具