維基解密對CIA網絡武器的曝光仍在進行時。上周末，維基解密繼續公布了Vault7系列名為“Grasshopper”的CIA網絡工具相關文檔，根據公布的文檔顯示，該工具主要針對Windows系統進行入侵控制，是一套具備模塊化、擴展化、免殺和持久駐留的惡意軟件綜合平臺。

在曝光的“Grasshopper”文檔中，分為持久駐留機制說明、開發指導、系統設備測試、發行版本和設計架構六類共27份相關文件，這些文件主要對基于受害者客戶端的惡意軟件開發設計作出說明，其中包含的內幕信息側面揭露了CIA的網絡攻擊入侵手段。

Grasshopper具備靈活的惡意軟件定制化開發組裝功能

根據曝光文檔透露，CIA特工在實施入侵攻擊之前，可以使用Grasshopper對目標系統進行相關信息探測分類，如操作系統類型、殺毒軟件和其它相關技術細節，之后，使用Grasshopper平臺自動將這些參數組合成針對特定目標的惡意軟件。

為了完成定制化惡意軟件的配置，Grasshopper程序使用了基于規則的定制化語言進行開發配置，如以下就是一個探測目標系統是否為Win7/Win8系統、并且未安裝有卡巴斯基或諾頓殺毒軟件的開發規則：

完成相關配置探測之后，Grasshopper會自動生成一個Windows客戶端的惡意安裝程序，方便現場特工進行安裝運行。

Grasshopper支持模塊化和多種操作需求

以下是Grasshopper 2.0版本的模塊化架構描述：

Grasshopper執行體可以是一個或多個運行程序，而運行程序和組件之間又可以互相配合生效，最終可以實現在一個Payload上執行調用所有組件功能，達到持久駐留目的。

為了具備良好的擴展性，CIA盡量把Grasshopper生成的惡意運行程序和Payload脫離，方便特工使用其對特定目標執行特定Payload攻擊。

根據曝光文檔顯示，針對不同Windows系統，Grasshopper生成的惡意運行程序可以以EXE、DLL、SYS或PIC格式文件有效執行Payload，實現惡意軟件持久駐留。同時，Grasshopper還可生成內置惡意Payload或從其它位置啟動的惡意安裝程序。

曝光文檔中，CIA還表明“這是一種加載至內存中的惡意程序執行方式“，當然，這也意味著傳統的基于簽名的殺毒軟件很難檢測查殺。事實上，為了實現網絡攻擊的隱匿性，CIA投入了大量精力進行惡意軟件的免殺研究。

Grasshopper模仿借鑒了俄羅斯Carberp rootkit木馬程序代碼

曝光文檔中包含了一份名為Stolen Goods的使用說明文件，Stolen Goods可能是Grasshopper用來對受害者系統進行持久駐留檢測的一個工具組件。從Stolen Goods的名字和該文件表明，該工具是俄羅斯網絡犯罪團伙常用的Carberp rootkit木馬程序。Stolen Goods使用文檔中是這樣描述的：

采用Carberp相關的隱蔽通信、后門、漏洞等組件功能是為了適應惡意軟件的持久化駐留需求，這些相關功能組件都經過了嚴格的分析檢測，并且其中大部分代碼都作了修改，只保留了很少一部分原始代碼。

Grasshopper工具相關曝光文檔下載：PAN，提取碼：uehv

*參考來源：bleepingcomputer，wikileaks，freebuf小編clouds編譯，轉載請注明來自Freebuf.com