4月7日,維基解密發佈了一份Vault 7“Grasshopper”的檔案,其中有來自美國中央情報局(CIA)Grasshopper框架的27個文檔,這是一個用於為Microsoft Windows操作系統構建定製的惡意軟件有效負載平臺。
Grasshopper提供了多種由CIA操作員使用的模塊,用於構建一個定製的植入物,該植入物將以不同的方式運行,例如,根據在過程中選擇的特定特徵或功能,在計算機上保持持久性不同建立捆綁。並且還設置了一種非常靈活的語言來定義用於“執行目標設備的安裝前調查”的規則,確保只有在目標具有正確配置的情況下才能安裝有效載荷。通過這種語法,CIA操作員能夠進行簡潔的邏輯構建,例如調查目標設備正在運行哪個版本的Microsoft Windows,或查詢特定的防病毒產品是否運行。
此外,Grasshopper還允許使用持久性機制來安裝工具,並使用各種擴展(如加密)進行修改。洩漏文檔顯示,Grasshopper提供了各種持久性機制,並允許用戶定義在安裝啟動之前需要滿足的一系列條件。這些規則可以幫助確定目標設備是否正在運行正確版本的Windows以及某些安全產品是否存在。市面上“MS Security Essentials”,“瑞星”,“賽門鐵克端點”或“卡巴斯基”在目標計算機上都無法檢測到這個惡意模塊。
除了用戶指南,維基解密還披露了“贓物”的使用手冊。“贓物”可通過目標設備上的一項驅動程序生效,使其能夠在引導流程結束後得以執行,最終確保該惡意軟件能夠在微軟Windows設備引導後正常起作用。維基解密特地強調了這個名為“贓物”的持久性模塊,它借用了之前臭名昭著的“Carberp”銀行木馬代碼,該木馬程序的源代碼在幾年前就被洩漏了。
“Carberp”銀行木馬的作者指出,“贓物”只是借用了Carberp代碼的某些部分進行測試,並且被做了大量修改。而另一種持久性機制則利用Windows Update Service,允許在每次系統啟動或每22小時執行一次有效負載,此技術使用註冊表中指定的一系列DLL。
這是WikiLeaks公佈的第三輪文件,作為轉儲名稱為Vault 7的一部分。為我們提供了一個洞察建立現代間諜工具的建立,並瞭解中情局如何保持對感染的Microsoft Windows計算機的持久性的過程,而這也將為網絡安全提供了一個研究方向。
相關推薦
