天使之火Angelfire：CIA入侵Windows系統的惡意軟體

近日，據外媒報道稱，美國中央情報局（CIA）的黑客團隊開發並使用了一款新的Windows黑客工具來獲得對目標系統持續的遠程訪問許可權。

8月31日，作為CIA「Vault7」泄漏文檔的一部分，維基解密網站發布了 CIA開發的一項新技術，稱為「天使之火」（Angelfire），其目標為運行微軟 Windows 操作系統的計算機。

天使之火Angelfire框架

Angelfire是一個持久的框架, 通過修改其分區引導扇區，在運行Windows 操作系統的目標計算機上植入一個持久的後門。Angelfire 框架包含以下五個組件：

Solartime——負責修改分區引導扇區, 以便在 Windows 啟動時載入並執行Wolfcreek（內核代碼）；

Wolfcreek——一個自動載入驅動程序（Solartime執行的內核代碼），用於載入和運行其他驅動程序和用戶模式應用程序；

Keystone——一個使用DLL注入技術將惡意用戶應用程序直接執行到系統內存中的組件。載入植入物永遠不會觸及文件系統, 所以很少有取證能夠證明這個進程曾經運行過；

BadMFS——是一種隱藏的文件系統，試圖將自身安裝在目標計算機上可用的非分區（non-partitioned）空間中，以便用來存儲 Wolfcreek啟動所需的驅動程序和植入物；

Windows 臨時文件系統——一種安裝AngelFire的新方法，它允許CIA特工為某些特定任務創建臨時文件，例如安裝、在AngelFire上添加或刪除文件等，而不是在磁碟上放置獨立的組件。

根據維基解密泄漏的用戶手冊顯示，AngelFire需要獲得目標計算機的管理許可權才能成功安裝。32位版本的植入物適用於Windows XP和Windows 7操作系統，而64位的植入則是針對Server 2008 R2以及Windows 7操作系統。

之前泄漏的CIA Vault 7文檔及工具

上周，維基解密發布了另一個中情局項目，名為「ExpressLane」，其中詳細介紹了美國中央情報局（CIA）曾秘密創建一個虛假軟體更新系統，用於暗中監控情報合作夥伴。

據悉，該項目能夠將系統的數據傳輸到 U 盤上，僅供 CIA 查詢使用，從而查看合作夥伴的系統是否設置障礙。如果合作夥伴拒絕虛假軟體更新，那麼就會有一個隱藏的 kill 開關啟動，讓 CIA 有權在一段時間後關閉整個系統，並需要 CIA 技術人員親自訪問幫助恢復系統。

其實，自今年3月以來，維基解密已經發布了22批「Vault 7」系列文檔，其中包括最新發布的「天使之火」、上周發布的「ExpressLane」以及以下文檔和工具：

1. 「沙發土豆」（CouchPotato ）：CIA項目，該工具可以捕獲遠程視頻流的內容，並將其保存到磁碟上進行進一步分析。

2. 「小飛象」（Dumbo）：CIA項目，Dumbo程序允許中情局特工關閉所有麥克風；禁用全部網路適配器；利用攝像記錄設備暫停任何進程；選擇性破壞或者刪除記錄。

3. 「帝國」（Imperial）——揭露了3款（Achilles，Aeris和SeaPea）用於攻擊運行OSX和不同版本的Linux操作系統的計算機；

4. UCL / Raytheon——據稱是CIA承包商，為CIA遠程開發部門分析高級惡意軟體，並向該機構提供技術情報，以幫助其開發惡意軟體；

5. 「摩天大樓」（HighRise）——CIA項目，允許美國機構通過簡訊竊取智能手機數據並將其轉發至自己的伺服器中的工具；

6. BothanSpy和Gyrfalcon——兩款CIA植入物，允許間諜機構使用不同的攻擊向量從目標Windows和Linux計算機中攔截和滲透SSH憑證；

7. 「法外之地」（OutlawCountry）——允許CIA特工針對運行Linux操作系統的計算機進行攻擊和遠程監控；

8. 「艾爾莎」（Elsa）——CIA惡意軟體，利用WiFi追蹤運行Windows操作系統的計算機的地理位置；

9. 「野蠻袋鼠」（Brutal Kangaroo）——CIA特工使用的Microsoft Windows操作系統工具套件，可以針對企業／組織內的封閉網路或「氣隙」計算機進行定位；

10. 「櫻花」（Cherry Blossom）——CIA開發的框架，通過使用WIFI設備的漏洞來監控目標系統的網路活動；

11. 「流行病」（Pandemic）——CIA項目，允許間諜機構將文件伺服器轉換為惡意軟體感染源，感染同一網路內的其他設備；

12. 「雅典娜」（Athena）——一個間諜軟體框架，旨在對受感染的Windows系統進行遠程控制，能威脅所有Windows版本（從Windows XP到Windows 10）；

13. 「午夜之後」（AfterMidnight）和Assassin——兩款Winodws平台上的惡意軟體框架，用於監視並報告受感染的遠程主機PC上的操作並執行惡意操作；

14. 「阿基米德」（Archimedes）——CIA開發的中間人攻擊工具，用於監視區域網（LAN）內的計算機；

15. Scribbles——CIA追蹤內部人員和涉嫌告密者的程序；

16. 「蝗蟲」（Grasshopper）——針對Windows系統的一個高度可配置木馬遠控植入工具；

17. 「大理石框架」（Marble Framework）——用來對黑客軟體的開發代碼進行混淆處理、防止被歸因調查取證；

18. 「暗物質」（Dark Matter）——CIA入侵蘋果Mac和iOS設備的技術與工具；

19. 「哭泣天使」（Weeping Angel）——CIA使用的間諜攻擊，可以將智能電視的麥克風轉變為監控工具；

20. 「元年」（Year Zero）——揭示CIA用於入侵主流硬體和軟體的惡意程序；

本文翻譯自https://thehackernews.com/2017/08/cia-boot-sector-malware.html，如若轉載，請註明原文地址： http://www.4hou.com/info/news/7492.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：