維基解密公布CIA蜂巢（Hive）後門武器源碼（含下載）

01-26

簡介

2017年11月9日，維基解密（WikiLeaks）公開了Hive的源代碼和開發日誌，Hive是CIA用於控制其惡意軟體基礎設施的主要組件，針對常規操作系統和一些特定的路由和視頻設備植入後門。

Hive有兩個主要功能：beacon和互動式shell，用於部署CIA後續的「全功能的工具」。

關於穹頂8（Vault8）和Hive

「穹頂8系列主要內容為：CIA軟體項目的源代碼及其分析，也包括穹頂7系列中的內容。

公開這個系列可以幫助調查研究者、取證專家以及公眾更好地識別和理解CIA的秘密基礎設施。

本系列中發布的源代碼包含了用於在CIA控制的伺服器上運行的軟體。與維基解密之前的Vault7系列一樣，維基解密發布的材料不包含0day或類似的安全漏洞，以防止被惡意攻擊者所利用。」

——引用自 https://wikileaks.org/vault8/

Hive為以下目標操作系統和體系架構的處理器植入了惡意程序。

Hive解決了CIA惡意軟體開發者面臨的嚴重問題

因為在此之前，無論惡意軟體的威力有多麼大，如果它無法找到與其控制者安全地通信而不被發現的方法，那也是一無是處。而對於Hive來說，即便其植入程序在目標主機上被發現，如果僅僅只看它與互聯網上其他主機的通信，也很難通過這些線索找出CIA。Hive為各種CIA惡意軟體提供了一個隱蔽的通信平台，它將目標主機上泄露的信息發送給CIA的伺服器，然後接受CIA控制者的新指令。

Hive可以在目標主機上使用多個植入程序進行多項操作。每個操作匿名註冊至少一個隱藏域（例如「http://perfect-boring-looking-domain.com」）供其使用。運行域名網站的伺服器是從從商業主機提供商那裡租用的VPS（虛擬專用伺服器），VPS上運行的軟體是根據CIA規範定製的。這些伺服器都是CIA後端基礎設施的「公開面」（public-facing side），這些伺服器與其「隱藏」的伺服器（稱作Blot）通過VPN連接使用HTTP(s)通信。見下圖藍色部分。

如果有人偶然訪問到這些站點，封面（cover）伺服器則會傳送「無害」（innocent）的內容，因此訪問者不會產生懷疑，只會覺得它是一個正常的網站。不過Hive使用了一個未被廣泛使用的HTTPS伺服器選項：可選客戶端身份驗證（Optional Client Authentication），這是普通非技術人員無法察覺到的。這樣一來，由於瀏覽網站的普通用戶不需要進行身份驗證（因為這是可選的），於是他們看到的內容都是無害的（innocent）。但是與Hive的植入程序通過進行身份驗證，使得其可以被Blot伺服器檢測到。來自植入程序的流量被發送到稱為蜂窩（Honeycomb）的管理網關（參見上圖），而那些來自非植入程序的流量則被轉發到封面（cover）伺服器，然後返回無害的內容。

植入程序認證的數字證書是由CIA冒充現有實體產生的。在源代碼中包含的三個示例為卡巴斯基實驗室構建了假證書，假裝由開普敦的Thawte Premium Server CA簽署。這樣一來，即便目標組織查看到了網路中出現的網路流量，目標組織也可能錯誤地以為流量來自那些其實是CIA冒充的實體。

Hive的文檔可以從WikiLeaks Vault7系列獲得。