維基解密公布CIA蜂巢(Hive)後門武器源碼(含下載)
簡介
2017年11月9日,維基解密(WikiLeaks)公開了Hive的源代碼和開發日誌,Hive是CIA用於控制其惡意軟體基礎設施的主要組件,針對常規操作系統和一些特定的路由和視頻設備植入後門。
Hive有兩個主要功能:beacon和互動式shell,用於部署CIA後續的「全功能的工具」。
關於穹頂8(Vault8)和Hive
「穹頂8系列主要內容為:CIA軟體項目的源代碼及其分析,也包括穹頂7系列中的內容。
公開這個系列可以幫助調查研究者、取證專家以及公眾更好地識別和理解CIA的秘密基礎設施。
本系列中發布的源代碼包含了用於在CIA控制的伺服器上運行的軟體。 與維基解密之前的Vault7系列一樣,維基解密發布的材料不包含0day或類似的安全漏洞,以防止被惡意攻擊者所利用。」
——引用自 https://wikileaks.org/vault8/
Hive為以下目標操作系統和體系架構的處理器植入了惡意程序。
Hive解決了CIA惡意軟體開發者面臨的嚴重問題
因為在此之前,無論惡意軟體的威力有多麼大,如果它無法找到與其控制者安全地通信而不被發現的方法,那也是一無是處。而對於Hive來說,即便其植入程序在目標主機上被發現,如果僅僅只看它與互聯網上其他主機的通信,也很難通過這些線索找出CIA。Hive為各種CIA惡意軟體提供了一個隱蔽的通信平台,它將目標主機上泄露的信息發送給CIA的伺服器,然後接受CIA控制者的新指令。
Hive可以在目標主機上使用多個植入程序進行多項操作。每個操作匿名註冊至少一個隱藏域(例如「http://perfect-boring-looking-domain.com」)供其使用。運行域名網站的伺服器是從從商業主機提供商那裡租用的VPS(虛擬專用伺服器),VPS上運行的軟體是根據CIA規範定製的。這些伺服器都是CIA後端基礎設施的「公開面」(public-facing side),這些伺服器與其「隱藏」的伺服器(稱作Blot)通過VPN連接使用HTTP(s)通信。見下圖藍色部分。
如果有人偶然訪問到這些站點,封面(cover)伺服器則會傳送「無害」(innocent)的內容,因此訪問者不會產生懷疑,只會覺得它是一個正常的網站。不過Hive使用了一個未被廣泛使用的HTTPS伺服器選項:可選客戶端身份驗證(Optional Client Authentication),這是普通非技術人員無法察覺到的。這樣一來,由於瀏覽網站的普通用戶不需要進行身份驗證(因為這是可選的),於是他們看到的內容都是無害的(innocent)。但是與Hive的植入程序通過進行身份驗證,使得其可以被Blot伺服器檢測到。來自植入程序的流量被發送到稱為蜂窩(Honeycomb)的管理網關(參見上圖),而那些來自非植入程序的流量則被轉發到封面(cover)伺服器,然後返回無害的內容。
植入程序認證的數字證書是由CIA冒充現有實體產生的。在源代碼中包含的三個示例為卡巴斯基實驗室構建了假證書,假裝由開普敦的Thawte Premium Server CA簽署。這樣一來,即便目標組織查看到了網路中出現的網路流量,目標組織也可能錯誤地以為流量來自那些其實是CIA冒充的實體。
Hive的文檔可以從WikiLeaks Vault7系列獲得。
Vault8項目的源代碼
在線瀏覽:
https://wikileaks.org/vault8/document/repo_hive/
client端
server端(部分)
源代碼完整版下載:
https://wikileaks.org/vault8/document/repo_hive/hive.zip
Hive的提交歷史(部分)
Hive的提交歷史完整版下載:
https://wikileaks.org/vault8/document/hive-log/hive-log.pdf
Hive7的用戶文檔
https://wikileaks.org/vault7/document/hive-UsersGuide/hive-UsersGuide.pdf
推薦閱讀:
※【安全報告】隔離網路高級威脅攻擊預警分析報告
※嗅探、中間人sql注入、反編譯--例說桌面軟體安全性問題
※Windows堆棧溢出利用的七種方式
※俄羅斯互聯網巨頭2500萬用戶數據泄露
※花無涯帶你走進黑客之 小白入門 第一彈