標籤:

CIA泄露資料分析(黑客工具&技術)—Windows篇

背景

近期,維基解密曝光了一系列據稱來自美國中央情報局(CIA)網路攻擊活動的秘密文件,代號為「Vault 7」,被泄露文件的第一部分名為「Year Zero」,共有8761個文件,包含7818個網頁和943份附件。

一、情報簡介

Year Zero暴露了CIA全球竊聽計劃的方向和規模,還包括一個龐大的黑客工具庫,該庫包含的代碼量過億,趕超大型軟體開發公司。這些黑客工具既有CIA自行開發的軟體,也有據稱是得到英國MI5(軍情五處)協助開發的間諜程序,其中包括惡意軟體、病毒、特洛伊木馬、武器化的『0day漏洞』、惡意軟體遠程控制系統及其相關文件等。網路攻擊入侵活動對象包括微軟、安卓、蘋果iOS、OS X和Linux等操作系統和三星智能電視,甚至還包括車載智能系統和路由器等網路節點單元和智能設備。

本文重點剖析Windows平台下的攻擊行為。

二、Windows平台下黑客技術與工具分析

Windows平台下的攻擊技術與工具主要分為8種,分別為數據搜集、數據銷毀、服務劫持、許可權升級、內存隱藏、對抗分析、取證搜查以及其他雜項,架構如下:

(請右鍵另存上圖,放大查看。)

它們借鑒當前比較流行的木馬樣本,旨在提供可以快速組合各種功能的解決方案,致力於開發簡單且有效的攻擊組合。

1.數據搜集(Data Collection Component)

a) Internet Explorer Password(瀏覽器密碼)

通過直接讀取用戶註冊表項下的關鍵值,獲取IE密碼相關信息。

b) 基於MicroSoft DirectX介面的鍵盤記錄

通過調用包含DirectInput介面的dxd9.dll,用於獲取鍵盤狀態。

c) 基於MicroSoft API介面的鍵盤記錄

通過SetWindowsHookEx函數註冊一個關於WH_KEYBOARD&WH_KEYBOARD_LL的回調,並使用函數GetRawInputData、GetKeyboardState、GetAsynckeyboardState,獲取用戶輸入的鍵盤指紋。

d) 攝像頭監控

採用COM介面下DirectShow 和VFW(video for Windows)組件,獲取設備數據流信息。

2.數據銷毀(Data Destruction Component)

a) 木馬採用來自一家叫Eldos的公司的正規適用程式簽名驅動,產品名稱為RawDisk,該產品的簽名驅動允許激活分區的磁碟可寫,使磁碟文件在鎖定狀態下也可以被刪除,從而造成一定的惡劣影響。

3. 服務劫持(Persistent Component)

a) Image File Execution Optio(映像劫持),通過建立或者改寫註冊表鍵位Image File Execution Options有關執行文件的鍵值,從而導致程序在執行時發生異常行為。

b) OCI.DLL Service Persistence(OCI.dll服務),通過替換系統同名dll,使得系統在啟動時載入惡意dll,並啟動OCI網路服務,得到系統許可權,但此服務停留於NetWork Service許可權,可以訪問網路資源。

c) Windows FAXdll注入,系統啟動後,explorer主動載入此系統目錄fxsst.dll,同名替換並使用LoadLibrary增加引用計數後,可以防止有效卸載,並以此可以過掉UAC。

d) TLS表,修改Windows PE文件,添加TLS表,在回調錶中載入其他DLL代碼,可以有效實施其他惡意行為。

4. 許可權升級(Privilege Escalation Component)

a) Elevated COM Object UAC ByPass,採用COM對象介面獲取高許可權的Explorer進程,編寫DLL代碼,實現創建com對象介面執行文件刪除操作,並注入到所有explorer進程中,判斷刪除操作是否成功,由此判定當前進程是否為高許可權。

b) Sticky Key Process Launch(劫持粘連鍵),使用映像劫持的方法,替換啟動粘連鍵的熱鍵程序。

c) Sysprep UAC,基於白名單的方式,複製惡意DLL至sysprep目錄中,並啟動sysprep程序,載入惡意DLL獲得高許可權。

d) Windows File Protection ByPass Using SFC,使用SFC組件過掉Windows文件保護機制,通用系統目錄下的sfc_oc.dll的函數介面暫時禁用文件保護系統,允許直接替換系統文件,從而實施惡意操作。

5.內存隱藏(Stealth Component)

a) Remote DLL Injection via Reflection(DLL反射注入),通過DLL反射機制,將特製的DLL插入到遠程線程中,並使其自行載入,實施惡意行為。

b) Process Hollowing Implementation(進程替換),以掛起線程的方式啟動程序,並在線程恢復前替換可執行文件的內容空間。

c) Process Injection Using SetWindowsLong,使用此函數的回調函數創建遠程線程,實現DLL注入。

d) Dll Memory Loading With Exception Support,內存載入DLL,載入一個DLL到當前進程中,並將新DLL加入反轉函數表以支持SHE異常處理,並在此過程中實現惡意行為。

e) Code Injection using ZwContinue, 掛鉤進程中的此函數,在線程獲得執行許可權前實現DLL注入。

f) DLL Hide(DLL隱藏),複製DLL數據,減少計數引用,釋放DLL的內存空間,重新申請原地址空間並複製DLL數據至此,從而實現DLL隱藏。

6.對抗分析(PSP/Debugger/RE Avoidance Component)

a) Anti-Sanboxing,對抗沙盒檢測,等待用戶滑鼠點擊事件的發生

b) APIObfuscation Using Hash,使用函數名稱加密字元串靜態解密函數地址,匹配每一個導出函數名稱。

c) Disable System Tray Popups,禁用系統托盤的重繪消息,用於阻止其他程序彈出的提示。

7.調查分析(Survey Component)

a) NetBIOS MAC Enumeration,找到每一個適配器的MAC地址。

b) File/Registry Change Notification,監控文件與註冊表的修改。

8.其他雜項(Miscellaneous)

a) Blind File Handle Enumeration,文件句柄的暴力枚舉,測試每一個可能的文件句柄值,判斷是否為Windows 文件句柄,並標示其是否為有效映射且進程可以被注入。

三、安全建議

隨著CIA數據的逐步泄露,越來越多的黑客工具和技術將被壞人利用,各種新型木馬病毒將會逐步面世,IT安全建議大家:

1. 不要從小網站下載軟體

小網站是黑客傳播惡意軟體的最大渠道,各種破解軟體、註冊機都是木馬病毒的溫床,一旦下載運行就會導致機器感染木馬病毒, 最終導致數據泄露。

為防止公司和個人的敏感數據泄露,請到正規網站下載軟體!

2. 不要打開來歷不明的外網郵件(Internet mail)

釣魚郵件是壞人入侵內網的常用途徑,IT安全團隊一直奮鬥在對抗惡意郵件的第一線,每日屏蔽來自外網的惡意郵件10w+封,惡意郵件攔截率達到99.9%+。

為防止漏攔截惡意郵件進入內網,造成PC感染木馬病毒,請大家不要打開來歷不明的郵件,如無法確認郵件安全性,請聯繫8000協助。

3. 不要訪問安全性不明的網站

網站掛馬是黑客常用的伎倆,黑客入侵安全防護措施不足的網站系統,將各類下載鏈接替換為木馬病毒,當用戶訪問網站時,會誤把木馬病毒下載到本地並運行。

為了保護公司和個人的信息安全,請勿訪問安全性不明的網站,當出現「IT安全提醒:此網站禁止訪問」或「電腦管家提醒:此網站存在風險」,請及時終止訪問!

參考資料

wikileaks.org/ciav7p1/c

本文轉載自騰雲閣,已獲得作者授權。


推薦閱讀:

學習編程可以參考哪些網站?
網路安全態勢感知分析模型與技術應用關鍵點
一些對安全模型和架構的威脅(Day022)
幾維安全提醒勒索病毒又來襲 網路安全行業或迎機遇
Linux,netstat

TAG:網路安全 |