欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

CIA新一波对象AngelFire: 针对Windows体系的永远歹意框架

来源:本站整理 作者:佚名 时间:2017-09-01 TAG: 我要投稿

本周,维基解密宣布了新一款 CIA 对象 AngelFire。AngelFire 是一款框架植入对象,可以或许作为永远后门保存在被沾染体系的分区领导扇区中,对目的体系停止永远长途节制。透露的用户手册表现,AngelFire 必要得到治理员权限能力胜利入侵目的体系。

与此前的 Grasshopper、ELSA、 After Midnight 相似,AngelFire 也是一款永远性框架,可以或许在目的体系(Windows XP 与 Windows 7)中加载并履行定制的注入法式。
AngelFire 有五个组成部门:
1. Solartime — 改动分区领导扇区,让体系每次加载领导装备驱动时,能加载并履行 Wolfcreek (内核代码);
2. Wolfcreek — 主动加载驱动(即 Solartime 履行的内核代码),可以或许加载其余驱动和用户形式的利用;加载其余驱动和利历时,就可以创立可以或许在被沾染机械上检测到的内存透露;
3. Keystone — Wolfcreek 的一部门,利用 DLL 注入功效,直接在体系内存中履行歹意用户利用,无需将歹意法式存储进文件体系。创立的过程被命名为 svchost.exe,且一切的内容都是持续的,包含 svchost.exe 实例(如图片门路和父过程等)。
4. BadMFS — 在运动分区开头(新版本BadMFS中会利用硬盘中的某个文件)创立暗藏的文件体系,存储 Wolfcreek 启动的一切驱动法式和植入法式;一切这些文件都经过了混杂和加密防止经由过程字符串和PE头扫描特性;
5. Windows Transitory File system — 用于装置 AngelFire,可作为 BadMFS 的代替办法。CIA 间谍可利用这个办法创立一些暂时文件,而不消像BadMFS同样把他们存在隐藏的文件体系中。这些文件能够是履行各类操纵必要的文件,好比装置、向 AngelFire 增加文件、从 AngelFire 移除文件等。这些暂时文件存在 “UserInstallApp”中。
文档表现, AngelFire 可以或许入侵 32 位的 Windows XP 和 Windows 7,和 64 位的 Windows Server 2008 R2 和 Windows 7。AngelFire 有两个装置版本:可履行的装置版本和 fire-and-collect .dll 装置版本。
事实上,与 CIA 其余入侵 Windows 体系的对象比拟,AngelFire 有一些不敷。比方,一些平安产物可以或许经由过程名为 “zf”的文件检测到 BadMFSB 文件体系;在 AngelFire 此中一个组件瓦解时,用户也能看到弹框正告。
别的, Keystone 组件利用 “C:\Windows\system32\svchost.exe” 过程作为假装,然则,假如 Windows 体系门路存在于 D 盘等其余分区,这个假装过程就无奈停止对应调剂;别的 Windows XP 体系并不支撑永远 DLL 注入。

其余Vault 7 CIA对象
自本年3月7日开端,维基解密开端利用一个新的代号 Vault 7 作为美国中情局(CIA)的敏感信息表露筹划。依据维基解密的论述,这些透露的文件中包含了大批 0day,歹意软件,病毒,木马和相干文档的高度秘密材料,在美国当局黑客和承包商之间流传,此中有人向维基解密提交了这份绝密档案的部门内容。
自名目开端以来,维基解密曾经合计颁布了 24 批 Vault 7 系列文件:
AngelFire  – 框架植入对象,对目的体系停止永远长途节制(2017.08.31)
ExpressLane – 监控包含 FBI、DHS 和 NSA 等在内的谍报联结机构并汇集数据的对象(2017.08.25)
CouchPotato – 盗取RTSP/H.264视频流对象(2017.8.10)
Dumbo – 用来封闭摄像头监控的对象(2017.8.3)
Imperial – 三款后门对象(2017.7.28)
UMBRAGE / Raytheon Blackbird – CIA 承包商 Raytheon Blackbird Technologies 为 UMBRAGE 名目供给的歹意法式具体剖析文档 (2017.7.19)
HighRise – 拦阻 SMS 新闻并重定向至长途 CIA 服务器的安卓歹意法式(2017.7.13)
BothanSpy & Gyrfalcon – 盗取 SSH 登录凭据的对象(2017.7.6)
OutlawCountry – 入侵 Linux 体系的对象(2017.6.30)
ELSA -  可以或许对 Windows 用户实行定位的歹意软件(2017.6.28)
Brutal Kangaroo – 针对企业或构造中收集断绝Windows主机的CIA对象。(2017.6.22)
Cherry Blossom – 一款可以或许长途节制的基于固件的植入对象,利用Wifi装备中的破绽监控目的体系的收集运动(2017.6.15)
Pandemic – CIA用它吧Windows文件服务器酿成进击主机,从而沾染局域网内的其余主机(2017.6.1)
Athena – 一个间谍软件框架,可以或许长途节制沾染Windows主机,并且支撑一切Windows操纵体系,从Windows XP到Windows 10。(2017.5.19)
AfterMidnight和Assassin – CIA的两个歹意软件框架,针对Windows平台,可以或许监控、回传沾染主机的操纵并且履行歹意代码(2017.5.12)
Archimedes – 局域网内停止中间人进击的对象(2017.5.5)
Scribbles – 一款将web beacons参加加密文档的对象,以便CIA黑客追踪泄密者(2017.4.28)
Weeping Angel – 将智能电视的话筒转酿成监控对象。利用此对象,CIA黑客可以或许将打开居民家中的智能电视(并且是在用户认为电视封闭的情况下),并窃听人们的对话。(2017.4.21)
HIVE—— 多平台入侵植入和治理节制对象(2017.4.14)
Grasshopper – 一款框架,CIA用它来创立针对Windows的歹意软件并且绕过杀毒软件(2017.4.7)
Marble – 一款秘密反取证的框架,对歹意软件的实在起源停止混杂(2017.3.31)
Dark Matter – 针对iPhone和Mac电脑的入侵对象(2017.3.23)
Year Zero – CIA针对硬件和软件的破绽利用对象
 
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载