回归最本质的信息安全

维基解密又双叒叕曝光了 CIA 针对 Mac 和 Linux 的 3 个黑客工具

2017年7月29日发布

12,721
0
10

导语:据外媒报道, “Vault 7”秘密文件一部分的Imperial项目日前被维基解密曝光,该文件已经是关于CIA黑客攻击的第18批资料了。该文件显示CIA所开发的三个间谍软件“Achilles”、“SeaPea”以及“Aeris”已经能分别针对对MacOS和Linux系统进行攻击。

3071163366072924671.jpg

据外媒报道, “Vault 7”秘密文件一部分的Imperial项目日前被维基解密曝光,该文件已经是关于CIA黑客攻击的第18批资料了。该文件显示CIA所开发的三个间谍软件“Achilles”、“SeaPea”以及“Aeris”已经能分别针对对MacOS和Linux系统进行攻击。

如果您是THN的常客,您必须注意,举报人组织的这一最新启示是正在进行的CIA-Vault 7漏洞的一部分,将其列为该系列的第18批。

Achilles ——可以生成macOS磁盘镜像

CIA操作员会利用这个黑客工具将恶意木马应用程序与合法的macOS应用程序进行结合,这个过程发生在磁盘映像安装程序(.DMG)文件中。

由于shell脚本是用Bash语言写的,所以CIA操作员就可以利用一个或多个所需的操作符,对指定的可执行文件进行一次性操作。

一旦不知情的用户在他们的macOS上下载了受感染的磁盘映像,打开并安装软件,恶意可执行文件也会在后台运行。

为了保证运行的隐蔽,所有能暴露Achilles的下载应用程序都会被安全地删除,以便被攻击的文件还以合法应用程序在运行,这样,安全防护人员和杀毒软件都难以检测到初始感染载体。Achilles v1.0,于2011年开发,仅在Mac OS X 10.6上进行了测试。

SeaPea——为Mac OS X内核Rootkit提供隐藏功能

SeaPea将为Mac OS X内核Rootkit提供隐藏和工具启动功能。据维基解密透露,在Mac OS X上运行SeaPea会隐藏文件和目录、套接字连接及进程。

Mac OS X Rootkit于2011年开发,适用于运行最新Mac OS X 10.6(Snow Leopard)操作系统(兼容32位或64位内核)和Mac OS X 10.7(Lion)操作系统的计算机。

rootkit需要将root访问权限安装在目标Mac上,除非重新格式化硬盘驱动器或升级系统,否则无法将其删除。

Aeris ——自动植入到Linux系统

Aeris是利用C语言编写的一种自动植入的间谍软件,一旦安装,它可进行文件过滤和加密通信。

Aeris专门针对Linux系统,包括Debian,CentOS,Red Hat,FreeBSD和Solaris。

Aeris支持自动文件过滤,配置了信标间隔和抖动(jitter),独立并基于Collide的HTTPS LP支持和SMTP协议支持,所有这些都通过TLS加密通信进行相互认证。它与NOD加密规范兼容,并提供与几个Windows植入类似的结构化命令和控件。

译者注:Collide是一个基于Web的协作型代码编辑器,可以在本地运行,通过http://localhost:8080来访问。该项目依赖于Google Web Toolkit、Guava以及其他库,还需要Java 7和Ant 1.8.4+等。

“Vault 7”秘密文件最近半年所揭露的重要信息概要

1.7月19日, 维基解密公布了CIA承包商雷鸟科技公司(Raytheon Blackbird Technologies,RBT)为CIA远程开发部门提交的5份恶意软件PoC创意及分析报告,这些报告的提交时间事从2014年11月21日到2015年9月11日。

2.7月13日,维基解密曝光了 HighRise工具。HighRise专门针对安卓,可以拦截 SMS 消息并将其重定向至远程 CIA 服务器。有很多IOC 工具可以利用短信在植入的APP和监听 POST之间进行通信,而 HighRise 相当于一个SMS短信代理,将“收到”和“发出”的 SMS短信息代理到互联网监听站(LP)中,进而在目标设备和LP间进行更大的隔离。同时,HighRise 在自身操作者和监听站之间建立一个基于 TLS/SSL 安全网络通信的信道。

3.7月6日,BothanSpy和Gyrfalcon被曝光,两款工具都是植入型的恶意程序。不过,BothanSpy 是针对 Windows 系统计算机的恶意程序。 Gyrfalcon 则是针对 Linux 系统( 32 位或 64 位),它需要使用 CIA 开发的 JQC/KitV rootkit 获取访问权限。

4.7月3日,OutlawCountry工具被曝光,专门用于以远程方式入侵运行有Linux操作系统的计算机。OutlawCountry工具中包含一个内核模块,CIA黑客可以通过shell访问目标系统加载模块,并且可以在目标linux主机创建一个名称非常隐蔽的Netfilter表。

5.6月28日,ELSA工具被曝光,ELSA为一款地理位置恶意软件,主要面向运行有Windows操作系统的笔记本电脑等具备WiFi功能的设备。

6.6月22日,Brutal Kangaroo工具被曝光, Brutal Kangaroo专门针对Windows操作系统的工具套件,, 它通过使用U盘等移动存储设备突破隔离的网络。在隔离网络中,创建自定义的隐蔽网络,并为执行查询、列表目录和执行任意文件提供服务。

7.6月17日,Cherry Blossom工具被曝光,Cherry Blossom是一款针对无线网络设备的远程可控固件植入框架,通过触发漏洞获取非授权访问,并加载定制CB固件,从而攻击路由器和无线接入点(AP),可用来入侵数百种家用路由器。

8.6月1日,Pandemic工具被曝光,Pandemic一种Windows持久性植入程序,可以与本地网络中的远程用户共享文件(程序),将文件服务器转换为恶意软件感染源。

9.5月19日,Athena工具被曝光, Athena旨在远程控制 Windows PC适用于从Windows XP到Windows 10的每个版本的Microsoft Windows操作系统。CIA可以利用Athena在目标计算机上进行任意操作,如进行数据删除或下载恶意软件,窃取到数据后就发送到 CIA 服务器上。

10.5月16日,AfterMidnight和Assassin工具被曝光,AfterMidnight和Assassin是CIA用来创建针对Windows的自定义恶意软件框架,这两个框架均实现了经典的后门功能,允许CIA控制目标系统。

11.5月5日,Archimedes工具被曝光,Archimedes最初的代号为Fulcrum,之后由开发团队更名为Archimedes。在目标LAN流量传输至网关前,Archimedes可以对LAN流量进行重定向,实施MitM攻击。

12.4月28日,Scribbles工具被曝光,Scribbles ,又名“ Snowden Stopper ” 这个word 文档追踪工具的设计目的是协助CIA对举报人和新闻记者的文件进行标记。据称, 该程序允许CIA将"web beacon-style tags"(web 信标)嵌入到word 文档中。

13.4月7日,Grasshopper工具被曝光,Grasshopper是CIA攻击Windows PC的开发工具包,是针对Windows系统的一个高度可配置木马远控植入工具。Grasshopper可以躲开杀毒软件的检测,还能每隔22小时自动重新安装一次。

14.4月1日,Marble工具被曝光,Marble是一个代码混淆框架,用来隐藏代码的真正来源,将 CIA 开发的恶意程序伪装成来自其它国家。

15.3月24日,Dark Matter工具被曝光,Dark Matter专门针对Mac和iPhone。的项目黑暗事物 – 黑客利用旨在定位iPhone和Mac的机构。Dark Matter技术可以重写设备固件,一旦被入侵,哪怕用户重启手机或电脑恢复出厂设置,也不能阻止CIA的访问。

16.3月7日,Weeping Angel工具被曝光,Weeping Angel是一款由CIA Embedded Devices Branch(嵌入式设备组)和英国MI5共同开发的针对三星智能电视的窃听软件。Weeping Angel感染智能电视后,会劫持电视的关机操作,保持程序的后台运行,让用户误以为已经关机了。它会启动麦克风,开启录音功能,然后将录音内容回传到CIA的后台服务器中。

本文翻译自http://thehackernews.com/2017/07/linux-macos-hacking-tools.html,如若转载,请注明原文地址: http://www.4hou.com/info/news/6879.html

点赞 10
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

xiaohui

xiaohui

嘶吼编辑

发私信

发表评论