昨天，維基解密又公布Vault7系列數百份文件，曝光CIA如何將自己發起的攻擊偽裝成來自俄羅斯、中國、朝鮮和伊朗等其他國家。

危機解密這一波公布的CIA泄露文件第三彈，名為“Marble”，其中包含反取證Marble Framework的676份源碼文件，基本上就是用來隱藏CIA惡意程序真實源碼的混淆工具——內含各種算法，主旨都是反追蹤，用于阻礙取證調查人員和反病毒公司將病毒、木馬和黑客攻擊行為溯源到CIA身上。

嫁禍給中國、俄羅斯等國？

除了作為混淆工具之用，維基解密認為Marble Framework有意將外語插入惡意程序源碼之中，來欺騙安全分析師，將攻擊嫁禍給其他國家。比如，將惡意程序使用的語言偽裝為漢語而非美式英語，然后假裝掩飾使用漢語的痕跡，進一步誘導取證調查人員得出錯誤的結論。根據曝光的文件，Marble的源碼中包含的語言包括漢語、俄語、韓語、阿拉伯語、波斯語及英語。

此外，公布的源碼文件中還包含反混淆工具，可以逆向CIA混淆過的文本。

外媒公布的這段中文還真是神一般的存在，還不如下圖The Register的標題給力……

在Marble Framework公布之后，取證調查人員和反病毒企業應該就能夠從中發現一些規律和曾經遺漏的環節，揭露之前的一些網絡攻擊和病毒背后真正的元兇。

截至目前，維基解密已經公布了“Year Zero”，揭露了CIA針對流行硬件和軟件使用的exploit和安全漏洞；維基解密還公布了“Dark Matter”，其中包含的是CIA專門針對iPhone和Mac設計的exploit和黑客技術。

據維基解密官網的說法，CIA在2016年也有使用Marble，但這種說法目前還沒有證據支持。有關專家仍在分析Marble，所以我們現在也沒必要太激動。

各方觀點

Softwar Inc的CEO Charles R. Smith認為Marble使用了Bouncy Castle加密API。Rendition InfoSec的安全研究員Jake Williams認為Marble中的混淆技術確實可以幫助CIA開發的惡意代碼躲避檢測，但就插入外語這一細節Williams不同意維基解密的結論——他認為Marble中之所以插入漢語、俄語等是因為CIA在入侵這些國家的系統時，可能需要在其惡意軟件中加入目標國的語言。

實際上，APT攻擊特性之一就是隱蔽性和偽裝，如果攻擊堂而皇之地公開自己的身份，那應當也就不是APT攻擊了。所以在Williams看來，CIA的這份Marble文檔，更多的就是用來隱藏身份，原本就是理所應當的。

另外加州大學伯克利分校國際計算機科學研究所研究員Nicholas Weaver發推特稱，這是維基解密所有泄密文件中造成傷害最大的文檔之一。CIA目前未就這一波泄露文件進行評論。白宮對維基解密的行為表示譴責，認為公布CIA機密信息的相關人士或機構應承擔法律責任。

有興趣的同學可以點擊這里下載分析Marble Framework源碼。

*參考來源：thehackernews，FB小編kuma編譯，轉載請注明來自FreeBuf.COM