福利在文章最下面,先上正文:
維基解密對CIA網絡武器的曝光仍在進行時。上週末,維基解密繼續公佈了Vault7系列名為“Grasshopper”的CIA網絡工具相關文檔,根據公佈的文檔顯示,該工具主要針對Windows系統進行入侵控制,是一套具備模塊化、擴展化、免殺和持久駐留的惡意軟件綜合平臺。
在曝光的“Grasshopper”文檔中,分為持久駐留機制說明、開發指導、系統設備測試、發行版本和設計架構六類共27份相關文件,這些文件主要對基於受害者客戶端的惡意軟件開發設計作出說明,其中包含的內幕信息側面揭露了CIA的網絡攻擊入侵手段。
Grasshopper具備靈活的惡意軟件定製化開發組裝功能
根據曝光文檔透露,CIA特工在實施入侵攻擊之前,可以使用Grasshopper對目標系統進行相關信息探測分類,如操作系統類型、殺毒軟件和其它相關技術細節,之後,使用Grasshopper平臺自動將這些參數組合成針對特定目標的惡意軟件。
為了完成定製化惡意軟件的配置,Grasshopper程序使用了基於規則的定製化語言進行開發配置,如以下就是一個探測目標系統是否為Win7/Win8系統、並且未安裝有卡巴斯基或諾頓殺毒軟件的開發規則:
完成相關配置探測之後,Grasshopper會自動生成一個Windows客戶端的惡意安裝程序,方便現場特工進行安裝運行。
Grasshopper支持模塊化和多種操作需求
以下是Grasshopper 2.0版本的模塊化架構描述:
Grasshopper執行體可以是一個或多個運行程序,而運行程序和組件之間又可以互相配合生效,最終可以實現在一個Payload上執行調用所有組件功能,達到持久駐留目的。
為了具備良好的擴展性,CIA儘量把Grasshopper生成的惡意運行程序和Payload脫離,方便特工使用其對特定目標執行特定Payload攻擊。
根據曝光文檔顯示,針對不同Windows系統,Grasshopper生成的惡意運行程序可以以EXE、DLL、SYS或PIC格式文件有效執行Payload,實現惡意軟件持久駐留。同時,Grasshopper還可生成內置惡意Payload或從其它位置啟動的惡意安裝程序。
曝光文檔中,CIA還表明“這是一種加載至內存中的惡意程序執行方式“,當然,這也意味著傳統的基於簽名的殺毒軟件很難檢測查殺。事實上,為了實現網絡攻擊的隱匿性,CIA投入了大量精力進行惡意軟件的免殺研究。
Grasshopper模仿借鑑了俄羅斯Carberp rootkit木馬程序代碼
曝光文檔中包含了一份名為Stolen Goods的使用說明文件,Stolen Goods可能是Grasshopper用來對受害者系統進行持久駐留檢測的一個工具組件。從Stolen Goods的名字和該文件表明,該工具是俄羅斯網絡犯罪團伙常用的Carberp rootkit木馬程序。Stolen Goods使用文檔中是這樣描述的:
採用Carberp相關的隱蔽通信、後門、漏洞等組件功能是為了適應惡意軟件的持久化駐留需求,這些相關功能組件都經過了嚴格的分析檢測,並且其中大部分代碼都作了修改,只保留了很少一部分原始代碼。