本周，維基解密發(fā)布了新一款 CIA 工具 AngelFire。AngelFire 是一款框架植入工具，可以作為永久后門留存在被感染系統(tǒng)的分區(qū)引導扇區(qū)中，對目標系統(tǒng)進行永久遠程控制。泄露的用戶手冊顯示，AngelFire 需要獲得管理員權限才能成功入侵目標系統(tǒng)。

與此前的 Grasshopper、ELSA、 After Midnight 類似，AngelFire 也是一款永久性框架，可以在目標系統(tǒng)（Windows XP 與 Windows 7）中加載并執(zhí)行定制的注入程序。

AngelFire 有五個組成部分：

1. Solartime — 修改分區(qū)引導扇區(qū)，讓系統(tǒng)每次加載引導設備驅動時，能加載并執(zhí)行 Wolfcreek （內核代碼）；

2. Wolfcreek — 自動加載驅動（即 Solartime 執(zhí)行的內核代碼），可以加載其他驅動和用戶模式的應用；加載其他驅動和應用時，就能創(chuàng)建可以在被感染機器上檢測到的內存泄漏；

3. Keystone — Wolfcreek 的一部分，利用 DLL 注入功能，直接在系統(tǒng)內存中執(zhí)行惡意用戶應用，無需將惡意程序存儲進文件系統(tǒng)。創(chuàng)建的進程被命名為 svchost.exe，且所有的內容都是連續(xù)的，包含 svchost.exe 實例（如圖片路徑和父進程等）。

4. BadMFS — 在活動分區(qū)結尾（新版本BadMFS中會使用硬盤中的某個文件）創(chuàng)建隱藏的文件系統(tǒng)，存儲 Wolfcreek 啟動的所有驅動程序和植入程序；所有這些文件都經(jīng)過了混淆和加密避免通過字符串和PE頭掃描特征；

5. Windows Transitory File system — 用于安裝 AngelFire，可作為 BadMFS 的替代方法。CIA 特工可利用這個方法創(chuàng)建一些臨時文件，而不用像BadMFS一樣把他們存在隱蔽的文件系統(tǒng)中。這些文件可能是執(zhí)行各種操作需要的文件，比如安裝、向 AngelFire 添加文件、從 AngelFire 移除文件等。這些臨時文件存在 “UserInstallApp”中。文檔顯示， AngelFire 可以入侵 32 位的 Windows XP 和 Windows 7，以及 64 位的 Windows Server 2008 R2 和 Windows 7。AngelFire 有兩個安裝版本：可執(zhí)行的安裝版本和 fire-and-collect .dll 安裝版本。

事實上，與 CIA 其他入侵 Windows 系統(tǒng)的工具相比，AngelFire 有一些不足。例如，一些安全產(chǎn)品可以通過名為 “zf”的文件檢測到 BadMFSB 文件系統(tǒng)；在 AngelFire 其中一個組件崩潰時，用戶也能看到彈框警告。

此外， Keystone 組件利用 “C:\Windows\system32\svchost.exe” 進程作為偽裝，但是，如果 Windows 系統(tǒng)路徑存在于 D 盤等其他分區(qū)，這個偽裝進程就無法進行對應調整；此外 Windows XP 系統(tǒng)并不支持永久 DLL 注入。

其他Vault 7 CIA工具

自今年3月7日開始，維基解密開始使用一個新的代號 Vault 7 作為美國中情局（CIA）的敏感信息披露計劃。根據(jù)維基解密的闡述，這些泄露的文件中包含了大量 0day，惡意軟件，病毒，木馬以及相關文檔的高度機密資料，在美國政府黑客和承包商之間傳播，其中有人向維基解密提交了這份絕密檔案的部分內容。

自項目開始以來，維基解密已經(jīng)共計公布了 24 批 Vault 7 系列文件：

AngelFire – 框架植入工具，對目標系統(tǒng)進行永久遠程控制（2017.08.31）

ExpressLane – 監(jiān)控包括 FBI、DHS 和 NSA 等在內的情報聯(lián)絡機構并搜集數(shù)據(jù)的工具（2017.08.25）

CouchPotato – 竊取RTSP/H.264視頻流工具（2017.8.10）

Dumbo – 用來關閉攝像頭監(jiān)控的工具（2017.8.3）

Imperial – 三款后門工具（2017.7.28）

UMBRAGE / Raytheon Blackbird – CIA 承包商 Raytheon Blackbird Technologies 為 UMBRAGE 項目提供的惡意程序詳細解析文檔 （2017.7.19）

HighRise – 攔截 SMS 消息并重定向至遠程 CIA 服務器的安卓惡意程序（2017.7.13）

BothanSpy & Gyrfalcon – 竊取 SSH 登錄憑證的工具（2017.7.6）

OutlawCountry – 入侵 Linux 系統(tǒng)的工具（2017.6.30）

ELSA - 可以對 Windows 用戶實施定位的惡意軟件（2017.6.28）

Brutal Kangaroo – 針對企業(yè)或組織中網(wǎng)絡隔離Windows主機的CIA工具。（2017.6.22）

Cherry Blossom – 一款能夠遠程控制的基于固件的植入工具，利用Wifi設備中的漏洞監(jiān)控目標系統(tǒng)的網(wǎng)絡活動（2017.6.15）

Pandemic – CIA用它吧Windows文件服務器變成攻擊主機，從而感染局域網(wǎng)內的其他主機（2017.6.1）

Athena – 一個間諜軟件框架，能夠遠程控制感染W(wǎng)indows主機，并且支持所有Windows操作系統(tǒng)，從Windows XP到Windows 10。（2017.5.19）

AfterMidnight和Assassin – CIA的兩個惡意軟件框架，針對Windows平臺，能夠監(jiān)控、回傳感染主機的操作并且執(zhí)行惡意代碼（2017.5.12）

Archimedes – 局域網(wǎng)內進行中間人攻擊的工具（2017.5.5）

Scribbles – 一款將web beacons加入加密文檔的工具，以便CIA黑客追蹤泄密者（2017.4.28）

Weeping Angel – 將智能電視的麥克風轉變?yōu)楸O(jiān)控工具。利用此工具，CIA黑客能夠將打開居民家中的智能電視（而且是在用戶以為電視關閉的情況下），并竊聽人們的對話。（2017.4.21）

HIVE—— 多平臺入侵植入和管理控制工具（2017.4.14）

Grasshopper – 一款框架，CIA用它來創(chuàng)建針對Windows的惡意軟件并且繞過殺毒軟件(2017.4.7)

Marble – 一款秘密反取證的框架，對惡意軟件的真實來源進行混淆（2017.3.31）

Dark Matter – 針對iPhone和Mac電腦的入侵工具（2017.3.23）

Year Zero – CIA針對硬件和軟件的漏洞利用工具

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。