亚洲国产一区二区三区在线观看,激情啪啪精品一区二区,91探花国产综合在线精品

CIA Vault7泄露文檔第五波：多平臺入侵植入和管理控制工具HIVE

責(zé)任編輯：editor007

作者：CYlar

2017-04-19 21:10:49

摘自：黑客與極客

最近，NSA和CIA的網(wǎng)絡(luò)武器都被捅婁子了，4月14日，就在ShadowBroker公布第二批NSA網(wǎng)絡(luò)大殺器的同一天，維基解密繼續(xù)公布了Vault7系列名為HIVE（蜂巢）的CIA網(wǎng)絡(luò)工具相關(guān)文檔。此次HIVE工具相關(guān)文檔的曝光更為之前殺軟公司和安全專家的分析提供了佐證。

最近，NSA和CIA的網(wǎng)絡(luò)武器都被捅婁子了，4月14日，就在ShadowBroker公布第二批NSA網(wǎng)絡(luò)大殺器的同一天，維基解密繼續(xù)公布了Vault7系列名為HIVE（蜂巢）的CIA網(wǎng)絡(luò)工具相關(guān)文檔。文檔共6份，包括了HIVE的開發(fā)使用和配置工作文檔等，最早版本記錄可追溯到2015年10月。

HIVE是CIA計(jì)算機(jī)網(wǎng)絡(luò)行動小組（COG）在執(zhí)行遠(yuǎn)程目標(biāo)任務(wù)時使用的一個協(xié)助平臺，由CIA嵌入式研發(fā)部門（EDB）開發(fā)，可以提供針對Windows、Solaris、MikroTik（路由器OS）、Linux和AVTech網(wǎng)絡(luò)視頻監(jiān)控等系統(tǒng)的定制植入程序，并能實(shí)現(xiàn)多種平臺植入任務(wù)的后臺控制工作，協(xié)助CIA從植入惡意軟件的目標(biāo)機(jī)器中以HTTPS協(xié)議和數(shù)據(jù)加密方式執(zhí)行命令和竊取數(shù)據(jù)。其自身具備的HTTPS協(xié)議接口為網(wǎng)絡(luò)入侵行為增添了隱蔽掩護(hù)性。

曾有一些殺軟公司和安全專家通過網(wǎng)絡(luò)入侵行為，偵測到了一些國家級別的網(wǎng)絡(luò)攻擊活動使用了類似HIVE的攻擊架構(gòu)，但之前卻一直無法準(zhǔn)確溯源。而就在最近，賽門鐵克研究人員通過對vault7文檔的調(diào)查后發(fā)現(xiàn)，CIA可能就是操控運(yùn)行黑客組織Longhorn的幕后黑手，Longhorn曾對至少16個國家的40個目標(biāo)系統(tǒng)發(fā)起過攻擊。賽門鐵克報(bào)告中對Longhorn的網(wǎng)絡(luò)攻擊架構(gòu)是這樣描述的：

在網(wǎng)絡(luò)入侵活動中，對遠(yuǎn)程控制C&C端來說，Longhorn會單獨(dú)為每個目標(biāo)分配一個特定的IP和域名組合。有些奇怪的是，為了隱匿身份和行為，這些域名看似是由攻擊者自己注冊的，但這些IP地址都指向正規(guī)VPS和網(wǎng)站托管商。這些入侵活動中涉及的惡意軟件，在與遠(yuǎn)端C&C服務(wù)器之間的交流通信卻是HTTPS方式，而且使用了自定義的底層加密協(xié)議來進(jìn)行偽裝。

此次HIVE工具相關(guān)文檔的曝光更為之前殺軟公司和安全專家的分析提供了佐證。

HIVE工作原理

HIVE的攻擊原理為在TCP/UDP協(xié)議通信中，執(zhí)行XOR和其它加密算法，通過軍工商諾斯·格魯曼（Northrop Grumman）研發(fā)的代理架構(gòu)BLOT和一個名為Switchblade的中間架構(gòu)，在入侵目標(biāo)與CIA遠(yuǎn)程控制端進(jìn)行隱蔽通信和管理控制。其中，所有的C&C通信又通過BLOT架構(gòu)配置的Apache服務(wù)器和域名中轉(zhuǎn)腳本進(jìn)行回連控制，而且為了增強(qiáng)隱蔽性，所有HIVE使用的IP地址都可以在VPS系統(tǒng)內(nèi)完成重定向動作。

BLOT架構(gòu)描述

每一個被植入惡意軟件的入侵目標(biāo)，在與C&C端進(jìn)行反彈連接時，在VPS系統(tǒng)內(nèi)由其自身攜帶的反彈信息被指定適配域名和重定向更改，之后，這些域名流量信息又會到達(dá)BLOT的代理通道。由于在VPS系統(tǒng)內(nèi)經(jīng)過重定向更改，端口等信標(biāo)信息都會被重新更改之后發(fā)送給BLOT架構(gòu)，如之前通過80端口連接某域名，那么重定向更改發(fā)送給BLOT時，可能就是8001端口。BLOT架構(gòu)看似就像一個流量中轉(zhuǎn)處理器，當(dāng)它接收到有效且重要信標(biāo)后，就會發(fā)送給Honeycomb進(jìn)行后端處理，并且，所有流量最終都會鏡像發(fā)送至隱蔽的Apache服務(wù)器（Cover server）。

Switchblade架構(gòu)描述

Switchblade是一個能與其它代理服務(wù)進(jìn)行交流通信的認(rèn)證代理，它使用自簽名證書，還能與Nginx和Linux服務(wù)器的流量數(shù)據(jù)進(jìn)行交互處理，在入侵目標(biāo)和C&C端服務(wù)器（Cover server）之間增加隱蔽性。

HIVE工具相關(guān)文檔下載：PAN，提取碼：qw1t

Hive CIA BLOT