导语:2017年3月7日,维基解密曝光了CIA一系列敏感数据。这是继斯诺登泄露NSA数据之后又一大国家级机密信息泄露,维基解密将其称之为Vault 7,是CIA史上最大规模的机密文档泄露。

2017年3月7日,维基解密曝光了CIA一系列敏感数据。这是继斯诺登泄露NSA数据之后又一大国家级机密信息泄露,维基解密将其称之为Vault 7,是CIA史上最大规模的机密文档泄露。

Year Zero是一个系列性的数据,其中第一部分就收纳了来自弗吉尼亚州兰利市网络情报中心(CIA总部)的8761份文档和文件。这次CIA泄露的机密性数据包括恶意程序、病毒、木马、具有攻击性的0day exp、恶意程序远程控制系统及其相关文件。

据维基解密披露,CIA有能力入侵苹果手机、谷歌安卓系统、微软的Windows系统、三星的智能电视。进一步挖掘CIA的攻击能力,我们发现它拥有一个极其复杂的部门分支,每个分支部门负责不同的黑客工具开发,这才促就了CIA拥有强大的黑客能力。本文将基于CIA内各个分支部门分析其攻击能力和技术细节。

一、CIA族谱图

1489054154603332.png

(黄色部分为这次数据泄露的源头)

此外,这里需要明确指出两点:其一是Year Zero公布的内容只是相关研究小组的一部分工作内容,远不是全部内容;其二是Year Zero公布的内容已经被WikiLeaks过滤了一遍,部分敏感内容已经被删掉了。

二、CIA各分支部门工作介绍

粗略地浏览一遍被公开的内容,可以获知各个分支部门的方向和内容。下面按照目录顺序依次进行简要的介绍。

1.  Embedded Development Branch (EDB)

DerStarke项目是针对于苹果OSX系统的项目设计的,用以测试和开发苹果系统EFI接口的。

SnowyOwl项目是针对于苹果OSX系统而设计的,用以向使用了OpenSSH的进程注入一个线程。

HarpyEagle是针对苹果Airport Extreme和Time Capsule而设计的,目的是远程或本地获取root权限并安装rootkit到flash存储器中。

GreenPacket是分析和研究Green Packet路由器中HTTP隧道的。

QuarkMatter项目同样是针对OSX系统的,其目标是通过EFI系统分区中的EFI驱动实现任意内核移植。

WeepingAngel项目主要针对三星电视,可以实现令三星电视进入Fake-Off模式,并监听使用者的活动。

Sontaran项目主要针对西门子VoIP电话,深入地研究了这款电话硬件和软件架构。

Sparrowhawk的目的是收集用户在系统终端的键盘输入,并将其整理统一格式。

BaldEagle是研究如何利用HAL daemon漏洞实现本地提权。

MaddeningWhispers是一套软件,可以对Vanguard-based设备的远程控制。

2.  Remote Development Branch (RDB)

Source Dump Map收集和整理了各种公共泄露数据而建立的数据库。

ComponentLibrary整理和开发了很多工具,如键盘记录工具DirectInput Keylogger,内核注入用户(APC injection),卡巴斯基heapgrd注入工具等等。

ShoulderSurfer是一款用于提取Exchange Database数据库的数据的工具。

3.  Operational Support Branch (OSB)

Flash Bang是一个浏览器沙箱逃逸工具,分为两部分,一部分在浏览器中运行,当逃逸成功之后会启动另一部分。

Melomy DriveIn通过劫持VLC播放器的DLL释放并运行RickyBobby。

RickyBobby是一款轻量级的远控工具,可以实现目标计算机的文件上传和下载,命令执行等。

Fight Club是一个RickyBobby的传播工具。

Rain Maker是一款通过劫持VLC播放机的DLL以实现文件调查和收集的工具。

Basic Bit是一款键盘记录工具。

HammerDrill是用于CD/DVD的收集工具,并记录CD/DVD的插入和移除事件。

4.  Mobile Development Branch (MDB)

专注于远程入侵智能手机,并能将受害者的地理位置、音频信息、文本信息发送回CIA服务器,甚至还能激活受害者手机的照相机和麦克风。

5.  Automated Implant Branch (AIB)

Grasshopper是一个安装工具,可以通过使用各种驻留技术绕过杀软安装其内含的程序。

Frog Prince是一个远控程序,包含C2端,LP端和implant端。

Gibson是一个通过命令行实现的远控工具。

6.  Network Devices Branch(NDB)

进行了大量的测试和分析工作,如对Cinnamon Cisco881的测试,对MikroTik Hotspot的测试,对Earl Grey的测试,对ASUS AC68U的测试等等。

7.  Techical Advisory Council (TAC)

What did Equation do wrong分析了Equation被黑的原因,并讨论了如何避免自己犯同样的错误。

Maslow’s Code Review讨论了Maslow的code review方法。

三、总结

CIA的每个分支部门研究的重点各不相同,也许其中一个部门不会对网络安全造成什么太大的影响,但如果十指并拢,就会变成非常强大的武器。所以CIA的这些分支部门研发的工具可能只会针对某一特定产品展开攻击,但是如果所有部门携起手来一起发动攻击,那对网络空间就是致命性的打击。

源链接

Hacking more

...