CIA 新一波工具AngelFire: 针对Windows系统的永久恶意框架

本周,维基解密发布了新一款 CIA 工具 AngelFire。AngelFire 是一款框架植入工具,可以作为永久后门留存在被感染系统的分区引导扇区中,对目标系统进行永久远程控制。泄露的用户手册显示,AngelFire 需要获得管理员权限才能成功入侵目标系统。

与此前的 Grasshopper、ELSA、 After Midnight 类似,AngelFire 也是一款永久性框架,可以在目标系统(Windows XP 与 Windows 7)中加载并执行定制的注入程序。

AngelFire 有五个组成部分:

1. Solartime — 修改分区引导扇区,让系统每次加载引导设备驱动时,能加载并执行 Wolfcreek (内核代码); 2. Wolfcreek — 自动加载驱动(即 Solartime 执行的内核代码),可以加载其他驱动和用户模式的应用;加载其他驱动和应用时,就能创建可以在被感染机器上检测到的内存泄漏; 3. Keystone — Wolfcreek 的一部分,利用 DLL 注入功能,直接在系统内存中执行恶意用户应用,无需将恶意程序存储进文件系统。创建的进程被命名为 svchost.exe,且所有的内容都是连续的,包含 svchost.exe 实例(如图片路径和父进程等)。 4. BadMFS — 在活动分区结尾(新版本BadMFS中会使用硬盘中的某个文件)创建隐藏的文件系统,存储 Wolfcreek 启动的所有驱动程序和植入程序;所有这些文件都经过了混淆和加密避免通过字符串和PE头扫描特征; 5. Windows Transitory File system — 用于安装 AngelFire,可作为 BadMFS 的替代方法。CIA 特工可利用这个方法创建一些临时文件,而不用像BadMFS一样把他们存在隐蔽的文件系统中。这些文件可能是执行各种操作需要的文件,比如安装、向 AngelFire 添加文件、从 AngelFire 移除文件等。这些临时文件存在 “UserInstallApp”中。

文档显示, AngelFire 可以入侵 32 位的 Windows XP 和 Windows 7,以及 64 位的 Windows Server 2008 R2 和 Windows 7。AngelFire 有两个安装版本:可执行的安装版本和 fire-and-collect .dll 安装版本。

事实上,与 CIA 其他入侵 Windows 系统的工具相比,AngelFire 有一些不足。例如,一些安全产品可以通过名为 “zf”的文件检测到 BadMFSB 文件系统;在 AngelFire 其中一个组件崩溃时,用户也能看到弹框警告。

此外, Keystone 组件利用“C:\Windows\system32\svchost.exe” 进程作为伪装,但是,如果 Windows 系统路径存在于 D 盘等其他分区,这个伪装进程就无法进行对应调整;此外 Windows XP 系统并不支持永久 DLL 注入。

其他Vault 7 CIA工具

自今年3月7日开始,维基解密开始使用一个新的代号 Vault 7 作为美国中情局(CIA)的敏感信息披露计划。根据维基解密的阐述,这些泄露的文件中包含了大量 0day,恶意软件,病毒,木马以及相关文档的高度机密资料,在美国政府黑客和承包商之间传播,其中有人向维基解密提交了这份绝密档案的部分内容。

自项目开始以来,维基解密已经共计公布了 24 批 Vault 7 系列文件,详情可点击阅读原文查看:

AngelFire – 框架植入工具,对目标系统进行永久远程控制(2017.08.31) ExpressLane – 监控包括 FBI、DHS 和 NSA 等在内的情报联络机构并搜集数据的工具(2017.08.25) CouchPotato – 窃取RTSP/H.264视频流工具(2017.8.10) Dumbo – 用来关闭摄像头监控的工具(2017.8.3) Imperial – 三款后门工具(2017.7.28) UMBRAGE / Raytheon Blackbird – CIA 承包商 Raytheon Blackbird Technologies 为 UMBRAGE 项目提供的恶意程序详细解析文档 (2017.7.19) HighRise – 拦截 SMS 消息并重定向至远程 CIA 服务器的安卓恶意程序(2017.7.13) BothanSpy & Gyrfalcon – 窃取 SSH 登录凭证的工具(2017.7.6) OutlawCountry – 入侵 Linux 系统的工具(2017.6.30) ELSA - 可以对 Windows 用户实施定位的恶意软件(2017.6.28) Brutal Kangaroo – 针对企业或组织中网络隔离Windows主机的CIA工具。(2017.6.22) Cherry Blossom – 一款能够远程控制的基于固件的植入工具,利用Wifi设备中的漏洞监控目标系统的网络活动(2017.6.15) Pandemic – CIA用它吧Windows文件服务器变成攻击主机,从而感染局域网内的其他主机(2017.6.1) Athena – 一个间谍软件框架,能够远程控制感染Windows主机,并且支持所有Windows操作系统,从Windows XP到Windows 10。(2017.5.19) AfterMidnight和Assassin – CIA的两个恶意软件框架,针对Windows平台,能够监控、回传感染主机的操作并且执行恶意代码(2017.5.12) Archimedes – 局域网内进行中间人攻击的工具(2017.5.5) Scribbles – 一款将web beacons加入加密文档的工具,以便CIA黑客追踪泄密者(2017.4.28) Weeping Angel – 将智能电视的麦克风转变为监控工具。利用此工具,CIA黑客能够将打开居民家中的智能电视(而且是在用户以为电视关闭的情况下),并窃听人们的对话。(2017.4.21) HIVE—— 多平台入侵植入和管理控制工具(2017.4.14) Grasshopper – 一款框架,CIA用它来创建针对Windows的恶意软件并且绕过杀毒软件(2017.4.7) Marble – 一款秘密反取证的框架,对恶意软件的真实来源进行混淆(2017.3.31) Dark Matter – 针对iPhone和Mac电脑的入侵工具(2017.3.23) Year Zero – CIA针对硬件和软件的漏洞利用工具

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-09-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

45种撸进后台的方法

2、到Google,搜索一些关键字,edit.asp? 韩国肉鸡为多,多数为MSSQL数据库! 

1.7K6
来自专栏角落的白板报

【52ABP实战教程】0.1-- Devops如何用VSTS持续集成到Github仓库!

“ 工欲善其事,必先利其器。磨刀不误砍柴工!” 管理工具会VSTS。 代码管理会用GITHUB。 服务器会用Azure。 所有的东西都是利用现有服...

2899
来自专栏企鹅号快讯

bt、磁力怎么下载?老司机飙车终极思路……

百度云解析失败,迅雷也是如此?无法下载BT!5大高分下载神器,你用过几个? ——wit小学生 最近好多小伙伴们向小学生吐槽,下载的BT不是没进度就是提示敏感资源...

7.8K10
来自专栏角落的白板报

【52ABP实战教程】0.1-- Devops如何用VSTS持续集成到Github仓库!

“ 工欲善其事,必先利其器。磨刀不误砍柴工!” 管理工具会VSTS。 代码管理会用GITHUB。 服务器会用Azure。 所有的东西都是利用现有服...

3528
来自专栏FreeBuf

“白象”APT组织近期动态

“白象”又名“Patchwork”,“摩诃草”,疑似来自南亚某国,自2012年以来持续针对中国、巴基斯坦等国进行网络攻击,长期窃取目标国家的科研、军事资料。与其...

1934
来自专栏信安之路

Red Team 工具集之网络钓鱼和水坑攻击

上图是一个 Red Team 攻击的生命周期,整个生命周期包括:信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上...

1480
来自专栏FreeBuf

用鱼竿、鱼钩、鱼饵和彩蛋模拟一次网络渗透

*本文原创作者:flagellantX,本文属FreeBuf原创奖励计划,未经许可禁止转载

1485
来自专栏FreeBuf

窃听风云:扒掉你的最后一条“胖次”

“每个人的手机都是一部窃听器,不管你开不开机,都能被窃听。”在2009年上映的《窃听风云》中吴彦祖饰演的人物有这样一句台词,随着影片热映,“手机窃听”的问题被更...

1633
来自专栏FreeBuf

iPhone的Wi-Fi芯片漏洞利用POC公布,赶紧更新系统吧

本周,谷歌 Project Zero 项目的研究员 Gal Beniamini 公布了 iPhone Wi-Fi 固件的漏洞利用 POC。这个漏洞(CVE-20...

2428
来自专栏ml

本本如何快速设置无线路由....,让其他人使用...

1、使用管理员身份运行CMD 2、使用命令netsh wlan set hostednetwork mode=allow ssid=建立的无线网名称最好是英文 ...

2615

扫码关注云+社区

领取腾讯云代金券