午夜之后的暗杀者 维基解密又公布CIA的两个Windows恶意软件框架 主要用于监控及执行命令

当全球忙于应对自动传播的WannaCry勒索软件所带来的威胁时 ,维基解密发布了“Vault 7”(第七号保险库)的新一轮中央情报局(CIA)机密信息,详细介绍了CIA明显针对微软的Windows平台的恶意软件框架。

这两个恶意软件框架名为“AfterMidnight”(“午夜之后”)和“Assassin”(“暗杀者”),主要用于监控和上报运行Windows操作系统的受感染远程计算机上的行动,并执行CIA下达的恶意行动。

自三月以来,维基解密已发布几十万份文档和机密的黑客工具,并宣称这些文档和工具来自CIA。本轮信息是该组织的“Vault 7”系列的一部分,为该系列的第八次机密信息发布。

“午夜之后”恶意软件框架

维基解密发布了声明,宣称“午夜之后”允许操作员在目标系统上动态加载并执行恶意负载。

恶意负载的主控制器,伪装成自动保持运行的Windows动态链接库(DLL)文件,并执行Gremlins。Gremlins是隐藏在目标机器上的小负载,破坏目标软件的功能,对目标进行勘测或为其它Gremlins提供服务。

“午夜之后”在目标机器上安装后,利用名为“Octopus”的HTTPS监听站系统,检查是有预计事件发生。若有预计事件发生,恶意软件框架下载并存储所有所需组件,然后在内存中加载所有新Gremlins。

最新披露的机密信息提供的用户手册表明,“午夜之后”相关的本地存储已加密,而加密密钥并不存储在目标机器上。名为“AlphaGremlin”的特殊负载包含一种自定义脚本语言,可使操作员调度目标系统上执行的自定义任务。

“暗杀者”恶意软件框架

“暗杀者”是一种类似于“午夜之后”的自动植入的恶意软件,在运行Windows系统的远程计算机上提供一个简单采集平台。该工具在目标计算机上安装后,在Windows服务进程中自动运行植入的软件,可使操作员在受感染的机器上执行恶意任务,这一过程与“午夜之后”相同。

“暗杀者”包含四个子系统:植入软件、生成器、命令与控制(C&C)以及监听站。

植入的软件为目标Windows机器上的该工具提供核心逻辑和功能,包括通信和任务执行。该植入的软件通过生成器进行配置,通过一些未定义向量在目标计算机上部署。

部署前,生成器配置植入的软件和部署相关的可执行文件。该工具的用户手册描述道,生成器“提供用于设置植入软件配置的自定义命令行接口,然后生成植入的软件。”

C&C子系统作为操作员与监听站的接口,监听站允许“暗杀者”植入软件通过web服务器与C&C子系统通信。上周,维基解密爆出一款名为“Archimedes”(阿基米德)的中间人(MitM)攻击工具,宣称该工具由CIA创建,用于攻击局域网中的计算机。

美国情报机构发现漏洞后不上报受影响厂商这一做法在最近三天引发了全球范围的混乱。这几天,WannaCry勒索软件利用SMB漏洞攻击了全球150多个国家的计算机,而国家安全局此前已发现了该SMB而未通报。然而,“影子经纪人”(Shadow Brokers)黑客组织一个月前就已披露了国家安全局发现SMB漏洞这一事件。

微软严厉谴责国家安全局在WannaCry攻击中所扮演的角色

甚至是微软总裁Brad Smith也谴责了美国情报局这一做法,表示由于国家安全局、CIA和其他情报机构对发现的零日漏洞未作披露,导致WannaCry攻击带来广泛损害。Smith说,

“这是2017年的一种新模式。我们在维基解密上看到了CIA未披露的漏洞,而国家安全局发现的该漏洞也由于未及时上报而影响了全球用户。”

自三月以来,维基解密已经发布了八次Vault 7系列文件。这一系列文件除上周的最新披露信息,还包括以下内容:

本文由:HackerNews 发布,版权归属于原作者。
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/cia-vault-7-aftermidnight-assassin
如果此文章侵权,请留言,我们进行删除。
相关阅读

【下载】维基解密开放了CIA工具用户手册 来看看入侵三星F系列智能电视机的Weeping Angel 工具

该工具需要通过物理接触方法使用 U 盘安装到目标的智能电视上,记录下的音频数据再通过物理接触方法收回,但利用附近的 WIFI 热点远程获取记录的音频数据也是可能的。

2017年3月14日 13:00 · 1926人气 · 0评论

CIA回应维基解密泄露事件 我们敢于创新但并不监视美国同胞 天啊你这说给谁听的?

CIA窃听丑闻还在发酵,几个关键信息。1匿名美国官员称这是承包商干的;2CIA说这都是为了保护美国人民;3中方再次敦促美方停止这些行为

2017年3月24日 16:09 · 1331人气 · 0评论

积极的信号! 维基解密与科技公司分享中情局黑客工具 但白宫认为应该先进行法律咨询

维基解密在Twitter上进行了一次调查,调查显示 57%的人认为应该与科技公司展开合作,因为可以保证民众安全。

2017年3月24日 16:06 · 795人气 · 0评论

受“维基解密 cia”事件影响 思科将给公司300多台交换机打补丁 修补思科集群管理协议中的漏洞

在研究维基解密公布的CIA档案之后,思科在其集群管理协议中发现了一个新的漏洞,影响到公司318台交换机。该漏洞可允许远程攻击者执行代码或重载目标设备。目前尚不清楚中情局何时发现的漏洞。

2017年3月24日 15:54 · 474人气 · 0评论

左边黑客掌握6.27亿个用户登录凭证 右边维基解密称CIA 10年来在出厂iphone预装监视工具

面对两难挑战,苹果公司称我们绝对没有出现问题,但建议在其他网站上使用了同样ID和密码的iCloud用户重置密码。

2017年3月24日 15:52 · 775人气 · 0评论

文章评论

  • 还没有评论,沙发等你来抢


安全社区正在使用多说

0day

发表评论