CIA泄露資料分析（黑客工具&技術）—Windows篇

背景

近期，維基解密曝光了一系列據稱來自美國中央情報局(CIA)網路攻擊活動的秘密文件，代號為「Vault 7」，被泄露文件的第一部分名為「Year Zero」，共有8761個文件，包含7818個網頁和943份附件。

一、情報簡介

Year Zero暴露了CIA全球竊聽計劃的方向和規模，還包括一個龐大的黑客工具庫，該庫包含的代碼量過億，趕超大型軟體開發公司。這些黑客工具既有CIA自行開發的軟體，也有據稱是得到英國MI5（軍情五處）協助開發的間諜程序，其中包括惡意軟體、病毒、特洛伊木馬、武器化的『0day漏洞』、惡意軟體遠程控制系統及其相關文件等。網路攻擊入侵活動對象包括微軟、安卓、蘋果iOS、OS X和Linux等操作系統和三星智能電視，甚至還包括車載智能系統和路由器等網路節點單元和智能設備。

本文重點剖析Windows平台下的攻擊行為。

二、Windows平台下黑客技術與工具分析

Windows平台下的攻擊技術與工具主要分為8種，分別為數據搜集、數據銷毀、服務劫持、許可權升級、內存隱藏、對抗分析、取證搜查以及其他雜項，架構如下：

（請右鍵另存上圖，放大查看。）

它們借鑒當前比較流行的木馬樣本，旨在提供可以快速組合各種功能的解決方案，致力於開發簡單且有效的攻擊組合。

1.數據搜集（Data Collection Component）

a) Internet Explorer Password（瀏覽器密碼）

通過直接讀取用戶註冊表項下的關鍵值，獲取IE密碼相關信息。

b) 基於MicroSoft DirectX介面的鍵盤記錄

通過調用包含DirectInput介面的dxd9.dll，用於獲取鍵盤狀態。

c) 基於MicroSoft API介面的鍵盤記錄

通過SetWindowsHookEx函數註冊一個關於WH_KEYBOARD&WH_KEYBOARD_LL的回調，並使用函數GetRawInputData、GetKeyboardState、GetAsynckeyboardState，獲取用戶輸入的鍵盤指紋。

d) 攝像頭監控

採用COM介面下DirectShow 和VFW(video for Windows)組件，獲取設備數據流信息。

2.數據銷毀（Data Destruction Component）

a) 木馬採用來自一家叫Eldos的公司的正規適用程式簽名驅動，產品名稱為RawDisk，該產品的簽名驅動允許激活分區的磁碟可寫，使磁碟文件在鎖定狀態下也可以被刪除，從而造成一定的惡劣影響。

3. 服務劫持（Persistent Component）

a) Image File Execution Optio（映像劫持），通過建立或者改寫註冊表鍵位Image File Execution Options有關執行文件的鍵值，從而導致程序在執行時發生異常行為。

b) OCI.DLL Service Persistence（OCI.dll服務），通過替換系統同名dll，使得系統在啟動時載入惡意dll，並啟動OCI網路服務，得到系統許可權，但此服務停留於NetWork Service許可權，可以訪問網路資源。

c) Windows FAXdll注入，系統啟動後，explorer主動載入此系統目錄fxsst.dll，同名替換並使用LoadLibrary增加引用計數後，可以防止有效卸載，並以此可以過掉UAC。

d) TLS表，修改Windows PE文件，添加TLS表，在回調錶中載入其他DLL代碼，可以有效實施其他惡意行為。

4. 許可權升級（Privilege Escalation Component）

a) Elevated COM Object UAC ByPass，採用COM對象介面獲取高許可權的Explorer進程，編寫DLL代碼，實現創建com對象介面執行文件刪除操作，並注入到所有explorer進程中，判斷刪除操作是否成功，由此判定當前進程是否為高許可權。

b) Sticky Key Process Launch（劫持粘連鍵），使用映像劫持的方法，替換啟動粘連鍵的熱鍵程序。

c) Sysprep UAC，基於白名單的方式，複製惡意DLL至sysprep目錄中，並啟動sysprep程序，載入惡意DLL獲得高許可權。

d) Windows File Protection ByPass Using SFC，使用SFC組件過掉Windows文件保護機制，通用系統目錄下的sfc_oc.dll的函數介面暫時禁用文件保護系統，允許直接替換系統文件，從而實施惡意操作。

5.內存隱藏（Stealth Component）

a) Remote DLL Injection via Reflection(DLL反射注入)，通過DLL反射機制，將特製的DLL插入到遠程線程中，並使其自行載入，實施惡意行為。

b) Process Hollowing Implementation(進程替換)，以掛起線程的方式啟動程序，並在線程恢復前替換可執行文件的內容空間。

c) Process Injection Using SetWindowsLong，使用此函數的回調函數創建遠程線程，實現DLL注入。

d) Dll Memory Loading With Exception Support，內存載入DLL，載入一個DLL到當前進程中，並將新DLL加入反轉函數表以支持SHE異常處理，並在此過程中實現惡意行為。

e) Code Injection using ZwContinue, 掛鉤進程中的此函數，在線程獲得執行許可權前實現DLL注入。

f) DLL Hide(DLL隱藏)，複製DLL數據，減少計數引用，釋放DLL的內存空間，重新申請原地址空間並複製DLL數據至此，從而實現DLL隱藏。

6.對抗分析（PSP/Debugger/RE Avoidance Component）

a) Anti-Sanboxing，對抗沙盒檢測，等待用戶滑鼠點擊事件的發生

b) APIObfuscation Using Hash，使用函數名稱加密字元串靜態解密函數地址，匹配每一個導出函數名稱。

c) Disable System Tray Popups，禁用系統托盤的重繪消息，用於阻止其他程序彈出的提示。

7.調查分析（Survey Component）

a) NetBIOS MAC Enumeration，找到每一個適配器的MAC地址。

b) File/Registry Change Notification，監控文件與註冊表的修改。

8.其他雜項（Miscellaneous）

a) Blind File Handle Enumeration，文件句柄的暴力枚舉，測試每一個可能的文件句柄值，判斷是否為Windows 文件句柄，並標示其是否為有效映射且進程可以被注入。

三、安全建議

隨著CIA數據的逐步泄露，越來越多的黑客工具和技術將被壞人利用，各種新型木馬病毒將會逐步面世，IT安全建議大家：

1. 不要從小網站下載軟體

小網站是黑客傳播惡意軟體的最大渠道，各種破解軟體、註冊機都是木馬病毒的溫床，一旦下載運行就會導致機器感染木馬病毒， 最終導致數據泄露。

為防止公司和個人的敏感數據泄露，請到正規網站下載軟體！

2. 不要打開來歷不明的外網郵件(Internet mail)

釣魚郵件是壞人入侵內網的常用途徑，IT安全團隊一直奮鬥在對抗惡意郵件的第一線，每日屏蔽來自外網的惡意郵件10w+封，惡意郵件攔截率達到99.9%+。

為防止漏攔截惡意郵件進入內網，造成PC感染木馬病毒，請大家不要打開來歷不明的郵件，如無法確認郵件安全性，請聯繫8000協助。

3. 不要訪問安全性不明的網站

網站掛馬是黑客常用的伎倆，黑客入侵安全防護措施不足的網站系統，將各類下載鏈接替換為木馬病毒，當用戶訪問網站時，會誤把木馬病毒下載到本地並運行。

為了保護公司和個人的信息安全，請勿訪問安全性不明的網站，當出現「IT安全提醒：此網站禁止訪問」或「電腦管家提醒：此網站存在風險」，請及時終止訪問！

參考資料

https://wikileaks.org/ciav7p1/cms/page_2621753.html#

本文轉載自騰雲閣，已獲得作者授權。