本周三（7 月 19 日），維基解密照例披露了 CIA Vault 7 系列文件，不過與以往直接披露的工具有所不同，這次主要披露的是 CIA 的“陰影”（UMBRAGE）項目以及 在項目中 CIA 承包商 Raytheon Blackbird Technologies 作出的詳細惡意程序分析報告。

Raytheon Blackbird Technologies 的前身是美國大型國防合約商 Raytheon（雷神公司）。Raytheon 于 2014 年 11 月收購了網(wǎng)絡(luò)安全公司 Blackbird Technologies，并成立Raytheon Blackbird Technologies，專注于分析高級惡意軟件和 TTPs（即 Tactics、Techniques、Procedures，主要指網(wǎng)絡(luò)攻擊的策略、技術(shù)與過程） 。根據(jù)約定，這家公司向 CIA 提供已經(jīng)發(fā)現(xiàn)的一些的惡意軟件分析報告。文檔顯示，2014 年 11 月到 2015 年 9 月期間，Raytheon Blackbird Technologies 至少向 CIA 提交了五份報告，這些分析報告都是 CIA UMBRAGE（陰影）項目的一部分。

之前維基解密所泄露的 Vault 7 相關(guān)數(shù)據(jù)表明，CIA 的 UMBRAGE 小組專門執(zhí)行false flag 行動 （假旗行動：是隱蔽行動的一種，指通過使用其他組織的旗幟、制服等手段誤導公眾以為該行動由其他組織所執(zhí)行的行動），進而隱藏攻擊手段，對抗調(diào)查取證。CIA 有個遠程設(shè)備組( Remote Devices Branch )，這個小組維護一個網(wǎng)絡(luò)攻擊模式庫，該模式庫搜集、總結(jié)了之前使用過的攻擊方式和技術(shù)，例如 Hacking Team 事件中泄露的代碼和俄羅斯使用的技術(shù)。擁有了龐大數(shù)量的模式庫之后，新發(fā)起網(wǎng)絡(luò)攻擊時，就可以采取模仿，混淆等多種戰(zhàn)術(shù)，達到迷惑敵人，隱藏自己的目的。

UMBRAGE 項目就由該小組進行維護，項目中收錄了多種惡意軟件攻擊技術(shù)，例如：鍵盤記錄、密碼收集、網(wǎng)絡(luò)攝像頭捕獲與控制、數(shù)據(jù)銷毀、持久性感染、提權(quán)、隱蔽攻擊、反殺毒軟件等等。

2017 年 7 月 19 日，維基解密公布 CIA 關(guān)于“陰影惡意軟件功能模塊庫”項目的文檔，文檔來自 CIA 承包商 Raytheon Blackbird Technologies ，從 2014 年 11 月 21 日（就在 Raytheon Blackbird Technologies 公司成立后的第三周）起開始提交并更新，到 2015 年 9 月 11 日才停止。這些文檔主要涉及 PoC 驗證、惡意軟件攻擊向量評估等，其中一部分參考資料來自一些安全公司或安全研究員所發(fā)布的關(guān)于網(wǎng)絡(luò)攻擊的公開分析文檔。

Raytheon Blackbird Technologies 在 CIA 的遠程設(shè)備組中充當“技術(shù)偵查員”，分析已被發(fā)現(xiàn)的惡意攻擊，并就 CIA 自身惡意軟件的進一步利用和 PoC 開發(fā)提供建議。

當然，該公司的專家也會向自家公司提供 PoC 想法和惡意軟件攻擊向量。這些專家認為，CIA 委托承包商搜集惡意軟件信息并提交給遠程設(shè)備小組，主要是為了協(xié)助該小組開發(fā)、提升 CIA 自己的網(wǎng)絡(luò)攻擊技術(shù)。

　　Raytheon 提交給 CIA 的五份報告簡介：

報告 1

在這份報告中， Raytheon 的研究員詳細分析并記錄了 HTTPBrowser RAT 變種，黑客組織“熊貓使者”（PANDA EMISSARY）曾利用這個 RAT 工具發(fā)起攻擊。新的變種出現(xiàn)于 2015 年 3 月，通過未知的初始攻擊向量展開攻擊，主要目的是捕捉、搜集擊鍵記錄。

報告 2

這份報告詳細說明了SAMURAI PANDA APT 組織所利用的 NfLog RAT（也叫 IsSpace ） 的新變種。這個變種使用了 Hacking Team 的 Flash 0-day exploit，該 exploit 利用 CVE-2015-5122 漏洞，并結(jié)合 UAC 繞過技術(shù)，可以嗅探或枚舉代理憑證，進而繞過 Windows 防火墻。同時，這個變種還利用 Google App Engine 進行 C2 服務(wù)器代理通信。

報告 3

這份報告是針對間諜工具 “Regin” 的深度分析。Regin 最初于 2013 年發(fā)現(xiàn)，主要用于監(jiān)控和數(shù)據(jù)搜集，據(jù)說比 Stuxnet 和 Duqu 更加復雜。有人認為，Regin 是 NSA 情報機構(gòu)自己開發(fā)的間諜工具。

研究人員最早于 2013 年檢測到 Regin 的活動，但數(shù)據(jù)顯示，早在 2008 年 Regin 就已經(jīng)很活躍了。不過，大多數(shù)人默認目前版本的 Regin 起源于 2013 年。Regin 的模塊架構(gòu)很有特色，具有高度靈活性，讓操作者進行針對特定個人的監(jiān)控（定制化特點）。此外，Regin 隱蔽性好，時間持久，有一部分攻擊功能僅通過常駐內(nèi)存（memory resident）實現(xiàn)。

報告 4

這份報告詳細分析了 2015 年年初發(fā)現(xiàn)的一款 “HammerToss” 惡意軟件。據(jù)稱，“HammerToss” 是俄羅斯政府支持的黑客所開發(fā)的惡意程序，自 2014 年年末就開始活動。

“HammerToss” 的有趣之處在于它的架構(gòu)。它可以利用 Twitter 賬號、Github 賬號、被入侵的網(wǎng)站、基本隱寫術(shù)以及云儲存功能等實現(xiàn) C2 通訊，進而在被攻擊的目標系統(tǒng)中執(zhí)行命令。

報告 5

這份報告詳細分析了信息竊取木馬 “Gamker”。

“Gamker” 利用自我編碼注入和 API hooking 的方式實現(xiàn)攻擊。2015 年 8 月，Virus Bulletin 公司針對 “Gamker” 給出了長達三頁的詳細技術(shù)分析，與其他廠商給出的 30 多頁的分析相比，這三頁的分析反而更有技術(shù)含量。可推薦繼續(xù)關(guān)注 Virus Bulletin，關(guān)注他們的更多報告。

以下是維基解密披露 Vault 7 系列文檔的時間線，詳細報道可以點擊關(guān)鍵詞超鏈接進行閱讀：

HighRise- 攔截 SMS 消息并重定向至遠程 CIA 服務(wù)器的安卓惡意程序（2017.7.13）

BothanSpy &Gyrfalcon - 竊取 SSH 登錄憑證的工具（2017.7.6）

OutlawCountry- 入侵 Linux 系統(tǒng)的工具（2017.6.30）

ELSA- 可以對 Windows 用戶實施定位的惡意軟件（2017.6.28）

Brutal Kangaroo- 入侵隔離網(wǎng)絡(luò)的工具（2017.6.22）

CherryBlossom - 入侵 SOHO 無線路由器的工具（2017.6.15）

Pandemic –用惡意程序代替合法文件的工具（2017.6.1）

Athena - 與某美國公司共同開發(fā)的惡意軟件框架（2017.5.19）

AfterMidnight and Assassin—— Windows 惡意軟件框架（2017.5.12）

Archimedes —— 實施中間人攻擊的工具（2017.5.5）

Scribble—— Office 文檔追蹤工具（2017.4.28）

Weeping Angel——入侵 Samsung 智能電視的工具（2017.4.21）

HIVE—— 多平臺入侵植入和管理控制工具（2017.4.14）

Grasshopper —— Windows 惡意軟件生成器(2017.4.7)

Marble Framework —— 秘密反監(jiān)識框架（2017.3.31）

Dark Matter —— 入侵 iPhone 和 Mac 的工具（2017.3.23）

*參考來源： THN ，securityaffairs等，AngelaY 編譯，轉(zhuǎn)載請注明來自 FreeBuf.COM