欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

美国CIA是怎么培训黑客工具开发人员的

来源:本站整理 作者:佚名 时间:2017-07-19 TAG: 我要投稿


2017年3月8日,维基揭秘网站曝光了美国中央情报局网络情报中心的8761份文件,其中涉密文件达156份,涵盖中央情报局黑客部队攻击手法、目标、工具及代码等内容,引发全球关注。本文将为您解读文件中涉及的美国中央情报局黑客工具开发人员培训内容及特点。
◆ ◆ ◆基本情况      
此次维基揭秘网站披露文件中,涉及美国中央情报局黑客工具开发人员培训的主要有两部分内容:一部分为网络情报中心所属行动支持处(Operational Support Branch,OSB)“新进开发人员培训”系列文档,该文档共包括13个文件,除1个文件无密级外,其余文件密级均为“机密//禁止外籍人员知悉”;另一部分文件为应用工程部(Applied Engineering Division,AED)的“通过黑客工具开展情报窃取的行为准则”,目前披露的仅为1个机密级文件。
根据曝光文件分析,行动支持处现有14人,与嵌入开发处、远程植入处、移动开发处、网络设备处等应为兄弟单位,主要职责应为通过开发、应用相关网络黑客工具,窃取目标对象情报信息。应用工程部则无太多内容披露,根据其层级和业务范围,该部门很有可能是以上各处的上级单位。
从文件风格来看,相关文件形式上更像网络论坛上的用户发言,有的文件末尾还附有其他用户评论,这样使得所披露内容较为立体鲜活;但同时也多为片段式,部分文件内容甚至为空。例如,行动支持处有关文件中关于情报窃取要求的内容缺失,但应用工程部“通过黑客工具开展情报窃取的行为准则”文件,可为其提供一定补充。

◆ ◆ ◆主要内容                  
1. 行动支持处新进开发人员培训内容
此系列文件主要介绍了该部门新进软件开发人员所应接受的12项培训,旨在帮助新人尽快熟悉部门软件开发基本要求。主要包括以下内容。
培训科目一:建立个人开发环境。该科目主要是使学员了解工作用计算机所应安装软件、接入网络以及有关在线资源。必备软件主要有VMWare虚拟机、Visual Studio开发工具、CIA个性化开发工具、测试工具等;主要接入网络有绝密级网站DEVLAN、CIA非密网络FIN、美国政府非密网络4STAR;有关网络资源主要集中在绝密级网站DEVLAN上,开发人员可在其上创建自己的工作区并进行管理。
培训科目二:源代码控制。该科目主要是讲述如何使用Git工具进行源代码版本控制。该工具为部门所有软件开发过程设定了统一工作流程,其典型阶段有:成熟工具(Master),工具已由官方发布,可以使用;已开发工具(Develop),工具已完成开发且无缺陷,可随时发布;构建中工具(Feature),工具正在由某一开发人员进行开发;修复补丁(Hotfix),在成熟工具(Master)之外,针对某一小问题开发的修复程序。
培训科目三:Visual Studio开发工具。Visual Studio是微软推出的Windows平台应用程序的集成开发工具,中央情报局又在其上加载了个性化的插件,如工程开发小组(Engineer Develop Group,EDG)项目向导及代码库等。该科目主要讲授了其具体使用,包括如何新建项目、设置热键与颜色方案等。
培训科目四:Windows(32位)编程介绍。该科目讲授了编写可在32位Windows操作系统程序的有关基础知识,包括如何进行基本系统调用、列出文件/文件夹结构、启动进程、调用API等。
培训科目五:Windows(32位)开发笔记。该科目给出了32位Windows开发中需要注意的几个小的方面,如使用GetVersionInfo命令查看操作系统版本时,若不事先进行有关更改,Windows 8.1会被错报成Windows 8。
培训科目六:基本保护措施。该科目给出为应对电子取证,所应采取的有关措施,主要包括:一是混淆字符串或数据。开发工具时难免用到一些敏感字符串或数据,为使个人安全产品(如杀毒软件等)或专家难以通过字符串检索发现这些恶意工具,开发人员应通过使用中央情报局的“大理石架构”(Marble Framework)等工具,对相应字符串或数据采取混淆措施。二是保证数据在内存尽量不写盘。由于内存和磁盘不同的存储特性(分别为易失/非易失),以及磁盘中黑客工具信息更易被个人安全产品检测到,工具开发有关过程信息应尽量驻留在内存中。三是采用自删除(self-delete)技术。主要是考虑到对于硬盘中的黑客工具,常规删除只能去除文件系统中的有关索引,并不能真正将磁盘中内容清除,因此应采用自删除技术,使得代码能从磁盘中“自毁”。
培训科目七:单元测试的艺术。该科目给出单元测试工具、目标、步骤等。
培训科目八:Bamboo和Dart软件。该科目重点提到了联合运用这两个软件对工程进行集成测试。
培训科目九:情报窃取技术。该科目意在介绍通过黑客工具进行情报窃取的基础知识,主体内容缺失,但通过应用工程部情报窃取行为准则相关内容可知晓其概貌。
培训科目十:缩略语列表。该科目主要给出软件开发中有关缩略语的全称和定义,如ERB为其工程评审委员会(Engineering Review Board),该委员会每周一召开会议,审查所开发黑客工具功能、特点和不足及有关测试结果等;还有PMB(项目管理委员会)、IV&V(独立测评机构)、MRB(行动需求委员会)等有关机构,根据各自定义,他们在黑客工具开发过程中分工协同开展工作。
培训科目十一:事件与文档记录。该科目首先介绍了项目开发过程跟踪工具;之后介绍项目文档记录,主要内容包括代码、工具功能等信息、工具共享与重复使用情况3部分。
培训科目十二:大礼包——“夺旗”。该部分更像一个结课考试,内容包括以下10项。第一项是目标设备基本信息获取。这将便于之后在目标机器上部署有关信息窃取手段,所需基本信息包括计算机名称、所安装应用软件名称、网卡MAC地址、用户信息等。第二项是文件收集。这可以说是有关开发工作的终极目标,但在实际操作中,常常会受限于传输时间和带宽等,该测验项目要求在一定时限内,收集目标机器上带有特定后缀的文件。第三项是对工具的压缩和加密。第四、第五项主要测验内容是调用或强制中止其他工具的运行,以及进行目标系统监控与操纵。第六项是在机器重启后仍然保证黑客工具运行,主要借助Windows系统本身的有关机制以及启动过程的漏洞。第七项测试内容是将所窃取信息回传至控制中心。第八项是通过修改黑客工具本身,绕过杀毒软件等安全产品。第九项测试内容是使黑客工具能在目标机器上顺利执行。第十项是提升黑客工具的权限,使其能够开展黑客行动或获取所需信息。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载