作者:FloatingGuy 转载请注明出处:https://floatingguy.github.io/


2017.3 月开始 维基解密陆续对 CIA 泄露出的数据进行曝光,截至目前已经曝光了3此。

本文特意将 曝光的内容进行整理。

  • 第一系列 — Year Zero (元年)
  • 第二系列 — Dark Matter
  • 第三系列 — Marble 混淆工具

概述

第一系列应该是维基解密总结了所有情报以后对 CIA 间谍行为的汇总,这里大部分是介绍 CIA 有那些项目,项目的大概功能以及CIA 的组织架构。

第二系列 CIA 开发了 Sonic Screwdriver 项目主要是开发向 MAC 和 iOS 设备的固件系统(UEFI、EFI)植入恶意软件或者利用漏洞达到监控用户的目的。

第三系列 提供了一套代码混淆的工具 Marble 的源码, 网络上公开的分析报告

组织架构

CIA 机构划分

EBD:

  • BaldEagle:针对Unix系统硬件抽象层的HALdaemon漏洞利用工具;(vault7中出现次数:27)
  • MaddeningWhispers:针对Vanguard设备进行远程入侵的漏洞利用工具;(vault7中出现次数:34)
  • CRUCIBLE:自动化的可利用漏洞识别(automatedexploit identification)工具;(vault7中出现的次数:8)
  • YarnBall:在部署有效载荷或数据窃取时使用的隐蔽USB存储工具;(vault7中出现次数:43)
  • GreenPacket:针对GreenPacket路由设备进行木马植入的工具套装;(vault7中出现次数:11)
  • QuarkMatter:另一款针对OSX系统的启动驱动级植入木马;(vault7中出现次数:40)
  • Weeping Angel:由CIA和英国MI5共同开发的针对三星智能电视的木马植入工具组件。该窃听软件感染智能电视后,会劫持电视的关机操作,保持程序的后
  • 运行,让用户误以为已经关机了,之后它会启动麦克风,开启录音功能,然后将录音内容回传到CIA的后台服务器;(vault7中出现次数:65)

  • Hive:针对Windows和UNIX系统,为其它攻击部署和工具提供入侵协助的组件平台;(vault7中出现次数:197)

  • Honeycomb:用于配合Hive,运行于linux系统的,针对Swindle或Blot代理服务器的数据收集处理脚本工具;(vault7中出现次数:78)
  • CutThroat:构建于代理服务器之上,用于向目标系统发送数据的虚拟机接口;(vault7中出现次数:232)
  • Bee Sting:用于HTTP连接中的iFrame注入工具;(vault7中出现次数:21)
  • Sontaran:用于针对西门子OpenStage数字电话进行入侵的工具;(vault7中出现次数:83)
  • Secret Squirrel (SQRL):由远程研发部门RDB和嵌入式研发部门共同开发的工具,目前还不知晓具体用途 。

REB

  • Umbrage:一项团队模式的网络攻击平台,CIA技术人员通过该平台收集大量公开的黑客工具、攻击技术、一些泄露数据中包含的可用代码和相关思路方法,以此形成一个网络攻击特征库,可应用于网络攻击活动的调查取证。另据其* 它媒体报道,CIA可以通过该特征库采取模仿、混淆等多种战术,发起针对目标系统的“虚假标记”网络攻击,故意留下蛛丝马迹,让人作出错误判断,达到迷惑敌人、嫁祸于人,隐藏自己的目的。(vault7中出现次数:46)
  • ShoulderSurfer:从MicrosoftExchange中提取数据的工具;(vault7中出现次数:43)

OSB:

  • Scribbles: 这是一个文档预处理系统,用于给涉密文档打上“Web beacon”类型的追踪水印。
  • Time Stomper:用来在特定网络入侵行动中修改攻击载荷时间戳属性的工具;(vault7中出现次数:12)
  • Munge Payload:对攻击载荷进行加密和免杀处理的工具;(vault7中出现次数:65)
  • Magical Mutt:可以实现恶意DLL注入并能监控目标系统进程的工具;(vault7中出现次数:16)
  • Flash Bang:浏览器沙箱逃逸和劫持工具,当成功逃逸或劫持后,可以实现对目标系统的进一步提权操作;vault7中出现的次数:27
  • RickyBobby:以电影《塔拉德加之夜》中的角色RickyBobby命名,包含多种DLL攻击文件和执行脚本的一款轻量级的远控植入工具,可以实现对目标系统的端口监听、上传和下载和命令执行等功能;(vault7中出现次数:21)
  • Fight Club:在特定攻击活动中,利用移动载体作为传播中介,通过在VLC、WinRAR、TrueCrypt、Shamela和Microsoft Office等软件安装程序中捆绑RickyBobby远控,,实现控制感染目标系统的工具组件;(vault7中出现次数:21)
  • Melomy DriveIn:劫持VLC播放器DLL进程,间接植入RickyBobby远控;(vault7中出现次数:9)
  • Rain Maker:隐藏于绿色版VLC播放器程序中,利用移动载体作为感染传播中介,当用户向网络隔离的目标系统中插入感染U盘介质时,可以隐蔽实施对网络离系统的文件窃取和信息收集;(vault7中出现次数:101)
  • Improvise:支持Windows、Mac和Linux主流操作系统的数据收集和窃取工具,可以用于攻击配置、数据后处理、Payload调整设置和攻击方法选择的工具
  • 。针对不同的攻击目标系统,还定义了极具酒吧韵味的名字:Margarita, Dancefloor, Jukebox;(vault7中出现次数:28)
  • Basic Bit:一款针对Windows系统的键盘记录工具;(vault7中出现次数:158)
  • Fine Dining:为执行入侵任务的技术特工提供的一系列定制服务,如生成一个伪装的PDF文档,利用该文档在目标Mac系统中执行文件搜集任务,或对特定
  • 序执行DLL劫持;(vault7中出现次数:53)
  • HammerDrill:利用CD/DVD作为传播感染介质,通过向磁盘中写入恶意代码,实现对目标系统的感染控制;vault7中出现的次数:在HammerDrill
  • v2.0版本中还有一项功能:若目标系统正在使用Nero进行软件刻录,就会在刻录的新盘中安装32-bit的隐藏木马程序;(vault7中出现次数:12)
  • Taxman :(vault7中无介绍)
  • HyenasHurdle :(vault7中无介绍)

ABI

  • Frog Prince:全功能木马远控植入集成系统,包括C&C控制端、端口监听和植入软件;(vault7中出现次数:38)
  • Grasshopper:针对Windows系统的一个高度可配置木马远控植入工具;(vault7中出现次数:91)
  • Caterpillar:通过安全传输方式从目标系统获取文件的工具;(vault7中出现次数:85)
  • AntHill:似乎是一个远控植入软件用来进行文件管理的组件;(vault7中出现次数:28)
  • The Gibson:似乎是一个用来进行C&C控制和监听的程序组件;(vault7中出现次数:19)
  • Galleon:从目标计算机中把文件通过安全传输方式复制到控制端的一组脚本和工具集;(vault7中出现次数:38)
  • Assassin:(vault7中无介绍)
  • HercBeetle – (vault7中无介绍)
  • CandyMountain –(vault7中无介绍)
  • Hornet – (vault7中无介绍)
  • Cascade –(vault7中无介绍)
  • MagicVikings – (vault7中无介绍)

相关的报道