回归最本质的信息安全

天使之火Angelfire:CIA入侵Windows系统的恶意软件

2017年9月2日发布

30,300
1
0

导语:Angelfire是一个持久的框架, 它通过修改分区引导扇区,在运行Windows的目标计算机上植入一个持久的后门。

屏幕快照 2017-09-01 上午11.28.47.png

近日,据外媒报道称,美国中央情报局(CIA)的黑客团队开发并使用了一款新的Windows黑客工具来获得对目标系统持续的远程访问权限。

8月31日,作为CIA“Vault7”泄漏文档的一部分,维基解密网站发布了 CIA开发的一项新技术,称为“天使之火”(Angelfire),其目标为运行微软 Windows 操作系统的计算机。

天使之火Angelfire框架

Angelfire是一个持久的框架, 通过修改其分区引导扇区,在运行Windows 操作系统的目标计算机上植入一个持久的后门。Angelfire 框架包含以下五个组件:

Solartime——负责修改分区引导扇区, 以便在 Windows 启动时加载并执行Wolfcreek(内核代码);

Wolfcreek——一个自动加载驱动程序(Solartime执行的内核代码),用于加载和运行其他驱动程序和用户模式应用程序;

Keystone——一个使用DLL注入技术将恶意用户应用程序直接执行到系统内存中的组件。加载植入物永远不会触及文件系统, 所以很少有取证能够证明这个进程曾经运行过;

BadMFS——是一种隐藏的文件系统,试图将自身安装在目标计算机上可用的非分区(non-partitioned)空间中,以便用来存储 Wolfcreek启动所需的驱动程序和植入物;

Windows 临时文件系统——一种安装AngelFire的新方法,它允许CIA特工为某些特定任务创建临时文件,例如安装、在AngelFire上添加或删除文件等,而不是在磁盘上放置独立的组件。

根据维基解密泄漏的用户手册显示,AngelFire需要获得目标计算机的管理权限才能成功安装。32位版本的植入物适用于Windows XP和Windows 7操作系统,而64位的植入则是针对Server 2008 R2以及Windows 7操作系统。

之前泄漏的CIA Vault 7文档及工具

上周,维基解密发布了另一个中情局项目,名为“ExpressLane”,其中详细介绍了美国中央情报局(CIA)曾秘密创建一个虚假软件更新系统,用于暗中监控情报合作伙伴。

据悉,该项目能够将系统的数据传输到 U 盘上,仅供 CIA 查询使用,从而查看合作伙伴的系统是否设置障碍。如果合作伙伴拒绝虚假软件更新,那么就会有一个隐藏的 kill 开关启动,让 CIA 有权在一段时间后关闭整个系统,并需要 CIA 技术人员亲自访问帮助恢复系统。

其实,自今年3月以来,维基解密已经发布了22批“Vault 7”系列文档,其中包括最新发布的“天使之火”、上周发布的“ExpressLane”以及以下文档和工具:

1. “沙发土豆”(CouchPotato ):CIA项目,该工具可以捕获远程视频流的内容,并将其保存到磁盘上进行进一步分析。

2. “小飞象”(Dumbo):CIA项目,Dumbo程序允许中情局特工关闭所有麦克风;禁用全部网络适配器;利用摄像记录设备暂停任何进程;选择性破坏或者删除记录。

3. “帝国”(Imperial)——揭露了3款(Achilles,Aeris和SeaPea)用于攻击运行OSX和不同版本的Linux操作系统的计算机;

4. UCL / Raytheon——据称是CIA承包商,为CIA远程开发部门分析高级恶意软件,并向该机构提供技术情报,以帮助其开发恶意软件;

5. “摩天大楼”(HighRise)——CIA项目,允许美国机构通过短信窃取智能手机数据并将其转发至自己的服务器中的工具;

6. BothanSpy和Gyrfalcon——两款CIA植入物,允许间谍机构使用不同的攻击向量从目标Windows和Linux计算机中拦截和渗透SSH凭证;

7. “法外之地”(OutlawCountry)——允许CIA特工针对运行Linux操作系统的计算机进行攻击和远程监控;

8. “艾尔莎”(Elsa)——CIA恶意软件,利用WiFi追踪运行Windows操作系统的计算机的地理位置;

9. “野蛮袋鼠”(Brutal Kangaroo)——CIA特工使用的Microsoft Windows操作系统工具套件,可以针对企业/组织内的封闭网络或“气隙”计算机进行定位;

10. “樱花”(Cherry Blossom)——CIA开发的框架,通过使用WIFI设备的漏洞来监控目标系统的网络活动;

11. “流行病”(Pandemic)——CIA项目,允许间谍机构将文件服务器转换为恶意软件感染源,感染同一网络内的其他设备;

12. “雅典娜”(Athena)——一个间谍软件框架,旨在对受感染的Windows系统进行远程控制,能威胁所有Windows版本(从Windows XP到Windows 10);

13. “午夜之后”(AfterMidnight)和Assassin——两款Winodws平台上的恶意软件框架,用于监视并报告受感染的远程主机PC上的操作并执行恶意操作;

14. “阿基米德”(Archimedes)——CIA开发的中间人攻击工具,用于监视局域网(LAN)内的计算机;

15. Scribbles——CIA追踪内部人员和涉嫌告密者的程序;

16. “蝗虫”(Grasshopper)——针对Windows系统的一个高度可配置木马远控植入工具;

17. “大理石框架”(Marble Framework)——用来对黑客软件的开发代码进行混淆处理、防止被归因调查取证;

18. “暗物质”(Dark Matter)——CIA入侵苹果Mac和iOS设备的技术与工具;

19. “哭泣天使”(Weeping Angel)——CIA使用的间谍攻击,可以将智能电视的麦克风转变为监控工具;

20. “元年”(Year Zero)——揭示CIA用于入侵主流硬件和软件的恶意程序;

本文翻译自https://thehackernews.com/2017/08/cia-boot-sector-malware.html,如若转载,请注明原文地址: http://www.4hou.com/info/news/7492.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

小二郎

小二郎

这个人很懒,什么也没留下

发私信

发表评论

    xxxx 2017-09-04 06:39

    老外真会起名字