精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

Vault 7系列“陰影”項目曝光:雷神公司暗中為CIA提供惡意程序分析

責任編輯:editor007

作者:AngelaY

2017-07-20 20:54:25

摘自:黑客與極客

本周三(7 月 19 日),維基解密照例披露了 CIA Vault 7 系列文件,不過與以往直接披露的工具有所不同,這次主要披露的是 CIA 的“陰影”(UMBRAGE)項目以及 在項目中 CIA 承包商 Raytheon Blackbird Technologies 作出的詳細惡意程序分析報告。

本周三(7 月 19 日),維基解密照例披露了 CIA Vault 7 系列文件,不過與以往直接披露的工具有所不同,這次主要披露的是 CIA 的“陰影”(UMBRAGE)項目以及 在項目中 CIA 承包商 Raytheon Blackbird Technologies 作出的詳細惡意程序分析報告。

Raytheon Blackbird Technologies 的前身是美國大型國防合約商 Raytheon(雷神公司)。Raytheon 于 2014 年 11 月收購了網絡安全公司 Blackbird Technologies,并成立Raytheon Blackbird Technologies,專注于分析高級惡意軟件和 TTPs(即 Tactics、Techniques、Procedures,主要指網絡攻擊的策略、技術與過程) 。根據約定,這家公司向 CIA 提供已經發現的一些的惡意軟件分析報告。文檔顯示,2014 年 11 月到 2015 年 9 月期間,Raytheon Blackbird Technologies 至少向 CIA 提交了五份報告,這些分析報告都是 CIA UMBRAGE(陰影)項目的一部分。

之前維基解密所泄露的 Vault 7 相關數據表明,CIA 的 UMBRAGE 小組專門執行false flag 行動 (假旗行動:是隱蔽行動的一種,指通過使用其他組織的旗幟、制服等手段誤導公眾以為該行動由其他組織所執行的行動),進而隱藏攻擊手段,對抗調查取證。CIA 有個遠程設備組( Remote Devices Branch ),這個小組維護一個網絡攻擊模式庫,該模式庫搜集、總結了之前使用過的攻擊方式和技術,例如 Hacking Team 事件中泄露的代碼和俄羅斯使用的技術。擁有了龐大數量的模式庫之后,新發起網絡攻擊時,就可以采取模仿,混淆等多種戰術,達到迷惑敵人,隱藏自己的目的。

UMBRAGE 項目就由該小組進行維護,項目中收錄了多種惡意軟件攻擊技術,例如:鍵盤記錄、密碼收集、網絡攝像頭捕獲與控制、數據銷毀、持久性感染、提權、隱蔽攻擊、反殺毒軟件等等。

2017 年 7 月 19 日,維基解密公布 CIA 關于“陰影惡意軟件功能模塊庫”項目的文檔,文檔來自 CIA 承包商 Raytheon Blackbird Technologies ,從 2014 年 11 月 21 日(就在 Raytheon Blackbird Technologies 公司成立后的第三周)起開始提交并更新,到 2015 年 9 月 11 日才停止。這些文檔主要涉及 PoC 驗證、惡意軟件攻擊向量評估等,其中一部分參考資料來自一些安全公司或安全研究員所發布的關于網絡攻擊的公開分析文檔。

Raytheon Blackbird Technologies 在 CIA 的遠程設備組中充當“技術偵查員”,分析已被發現的惡意攻擊,并就 CIA 自身惡意軟件的進一步利用和 PoC 開發提供建議。

當然,該公司的專家也會向自家公司提供 PoC 想法和惡意軟件攻擊向量。這些專家認為,CIA 委托承包商搜集惡意軟件信息并提交給遠程設備小組,主要是為了協助該小組開發、提升 CIA 自己的網絡攻擊技術。

  Raytheon 提交給 CIA 的五份報告簡介:

報告 1

在這份報告中, Raytheon 的研究員詳細分析并記錄了 HTTPBrowser RAT 變種,黑客組織“熊貓使者”(PANDA EMISSARY)曾利用這個 RAT 工具發起攻擊。新的變種出現于 2015 年 3 月,通過未知的初始攻擊向量展開攻擊,主要目的是捕捉、搜集擊鍵記錄。

報告 2

這份報告詳細說明了SAMURAI PANDA APT 組織所利用的 NfLog RAT(也叫 IsSpace ) 的新變種。這個變種使用了 Hacking Team 的 Flash 0-day exploit,該 exploit 利用 CVE-2015-5122 漏洞,并結合 UAC 繞過技術,可以嗅探或枚舉代理憑證,進而繞過 Windows 防火墻。同時,這個變種還利用 Google App Engine 進行 C2 服務器代理通信。

報告 3

這份報告是針對間諜工具 “Regin” 的深度分析。Regin 最初于 2013 年發現,主要用于監控和數據搜集,據說比 Stuxnet 和 Duqu 更加復雜。有人認為,Regin 是 NSA 情報機構自己開發的間諜工具。

研究人員最早于 2013 年檢測到 Regin 的活動,但數據顯示,早在 2008 年 Regin 就已經很活躍了。不過,大多數人默認目前版本的 Regin 起源于 2013 年。Regin 的模塊架構很有特色,具有高度靈活性,讓操作者進行針對特定個人的監控(定制化特點)。此外,Regin 隱蔽性好,時間持久,有一部分攻擊功能僅通過常駐內存(memory resident)實現。

報告 4

這份報告詳細分析了 2015 年年初發現的一款 “HammerToss” 惡意軟件。據稱,“HammerToss” 是俄羅斯政府支持的黑客所開發的惡意程序,自 2014 年年末就開始活動。

“HammerToss” 的有趣之處在于它的架構。它可以利用 Twitter 賬號、Github 賬號、被入侵的網站、基本隱寫術以及云儲存功能等實現 C2 通訊,進而在被攻擊的目標系統中執行命令。

報告 5

這份報告詳細分析了信息竊取木馬 “Gamker”。

“Gamker” 利用自我編碼注入和 API hooking 的方式實現攻擊。2015 年 8 月,Virus Bulletin 公司針對 “Gamker” 給出了長達三頁的詳細技術分析,與其他廠商給出的 30 多頁的分析相比,這三頁的分析反而更有技術含量。可推薦繼續關注 Virus Bulletin,關注他們的更多報告。

以下是維基解密披露 Vault 7 系列文檔的時間線,詳細報道可以點擊關鍵詞超鏈接進行閱讀:

HighRise- 攔截 SMS 消息并重定向至遠程 CIA 服務器的安卓惡意程序(2017.7.13)

BothanSpy &Gyrfalcon - 竊取 SSH 登錄憑證的工具(2017.7.6)

OutlawCountry- 入侵 Linux 系統的工具(2017.6.30)

ELSA- 可以對 Windows 用戶實施定位的惡意軟件(2017.6.28)

Brutal Kangaroo- 入侵隔離網絡的工具(2017.6.22)

CherryBlossom - 入侵 SOHO 無線路由器的工具(2017.6.15)

Pandemic –用惡意程序代替合法文件的工具(2017.6.1)

Athena - 與某美國公司共同開發的惡意軟件框架(2017.5.19)

AfterMidnight and Assassin—— Windows 惡意軟件框架(2017.5.12)

Archimedes —— 實施中間人攻擊的工具(2017.5.5)

Scribble—— Office 文檔追蹤工具(2017.4.28)

Weeping Angel——入侵 Samsung 智能電視的工具(2017.4.21)

HIVE—— 多平臺入侵植入和管理控制工具(2017.4.14)

Grasshopper —— Windows 惡意軟件生成器(2017.4.7)

Marble Framework —— 秘密反監識框架(2017.3.31)

Dark Matter —— 入侵 iPhone 和 Mac 的工具(2017.3.23)

*參考來源: THN ,securityaffairs等,AngelaY 編譯,轉載請注明來自 FreeBuf.COM

鏈接已復制,快去分享吧

企業網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 沙坪坝区| 贡觉县| 奉节县| 巨野县| 新建县| 尖扎县| 邮箱| 南平市| 山西省| 江源县| 土默特左旗| 鄂温| 类乌齐县| 麻栗坡县| 沅陵县| 南昌县| 容城县| 江城| 大邑县| 太仓市| 蒙自县| 即墨市| 靖边县| 乌拉特中旗| 应用必备| 安义县| 赤壁市| 加查县| 友谊县| 新龙县| 彭山县| 花莲市| 新源县| 康马县| 四会市| 伊金霍洛旗| 乌什县| 威海市| 曲水县| 正定县| 莱西市|