维基解密对CIA网络武器的曝光仍在进行时。上周末,维基解密继续公布了Vault7系列名为“Grasshopper”的CIA网络工具相关文档,根据公布的文档显示,该工具主要针对Windows系统进行入侵控制,是一套具备模块化、扩展化、免杀和持久驻留的恶意软件综合平台。
在曝光的“Grasshopper”文档中,分为持久驻留机制说明、开发指导、系统设备测试、发行版本和设计架构六类共27份相关文件,这些文件主要对基于受害者客户端的恶意软件开发设计作出说明,其中包含的内幕信息侧面揭露了CIA的网络攻击入侵手段。
Grasshopper具备灵活的恶意软件定制化开发组装功能
根据曝光文档透露,CIA特工在实施入侵攻击之前,可以使用Grasshopper对目标系统进行相关信息探测分类,如操作系统类型、杀毒软件和其它相关技术细节,之后,使用Grasshopper平台自动将这些参数组合成针对特定目标的恶意软件。
为了完成定制化恶意软件的配置,Grasshopper程序使用了基于规则的定制化语言进行开发配置,如以下就是一个探测目标系统是否为Win7/Win8系统、并且未安装有卡巴斯基或诺顿杀毒软件的开发规则:
完成相关配置探测之后,Grasshopper会自动生成一个Windows客户端的恶意安装程序,方便现场特工进行安装运行。
Grasshopper支持模块化和多种操作需求
以下是Grasshopper 2.0版本的模块化架构描述:
Grasshopper执行体可以是一个或多个运行程序,而运行程序和组件之间又可以互相配合生效,最终可以实现在一个Payload上执行调用所有组件功能,达到持久驻留目的。
为了具备良好的扩展性,CIA尽量把Grasshopper生成的恶意运行程序和Payload脱离,方便特工使用其对特定目标执行特定Payload攻击。
根据曝光文档显示,针对不同Windows系统,Grasshopper生成的恶意运行程序可以以EXE、DLL、SYS或PIC格式文件有效执行Payload,实现恶意软件持久驻留。同时,Grasshopper还可生成内置恶意Payload或从其它位置启动的恶意安装程序。
曝光文档中,CIA还表明“这是一种加载至内存中的恶意程序执行方式“,当然,这也意味着传统的基于签名的杀毒软件很难检测查杀。事实上,为了实现网络攻击的隐匿性,CIA投入了大量精力进行恶意软件的免杀研究。
Grasshopper模仿借鉴了俄罗斯Carberp rootkit木马程序代码
曝光文档中包含了一份名为Stolen Goods的使用说明文件,Stolen Goods可能是Grasshopper用来对受害者系统进行持久驻留检测的一个工具组件。从Stolen Goods的名字和该文件表明,该工具是俄罗斯网络犯罪团伙常用的Carberp rootkit木马程序。Stolen Goods使用文档中是这样描述的:
采用Carberp相关的隐蔽通信、后门、漏洞等组件功能是为了适应恶意软件的持久化驻留需求,这些相关功能组件都经过了严格的分析检测,并且其中大部分代码都作了修改,只保留了很少一部分原始代码。
Grasshopper工具相关曝光文档下载:PAN,提取码:uehv
参考来源:bleepingcomputer,wikileaks,freebuf小编clouds编译
声明:本文来自FreeBuf,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
