E安全3月12日讯 CIA 辛辛苦苦几年攒的漏洞和工具“被”提交事件后,业内人士和记者都在仔细查看这些文件,各方都在关注事情进展。
相关阅读:
CIA本次泄露的基本为“监控”工具
CIA利用厂商漏洞从NSA、GCHQ(英国政府通信总部)或个人计算机安全研究员处获取了大量网络武器,但为了防止厂商发布补丁而未通知厂商。
本次维基解密揭露的黑客工具是CIA专门用来监控特定对象的工具。
CIA(中情局)本来就是一个间谍组织,同样都是监视公民,与国安局(NSA)不同的是,CIA并不热衷于铺天盖地式的监视,它关注的是特定目标人群。
CIA必须首先感染目标对象的手持设备、电视或计算机等硬件设备,读取信息并窥探目标的网络摄像头和麦克风。但这种方式入侵设备的风险和成本相当高,因此CIA只监视非常有价值的对象。当然就不会利用恶意软件潜伏绝大多数用户的口袋、手提电脑包和卧室内。
就各大新闻头条都在报道CIA入侵韩国三星智能电视一事来说,这涉及到闯入私人房屋,通过USB闪存盘物理性重编设备程序。无论智能或非智能电视只要CIA想要窃听都可以实现。
CIA可以掩盖针对外国政府的行动
被曝的文件中,有一页(参见https://wikileaks.org/ciav7p1/cms/page_14588809.html)讨论了在NSA“方程式组织”(Equation Group)黑客工具被窃之后,CIA如何避免泄密的细节。有关方程式组织入侵的详细报告(参见https://wikileaks.org/ciav7p1/cms/files/Inside%20the%20EquationDrug%20Espionage%20Platform%20-%20Securelist.pdf)还提出了如何保护资源的建议。
泄露的文件表明,CIA可以掩盖针对外国政府的行动。
外媒分析,这次泄露事件很可能是精心设计来帮助特朗普将DNC(民主党全国委员会)电子邮件服务器被入侵一事归罪到CIA头上。而维基解密这次的立场推敲一下其对特朗普选举的作用就能领悟其中的微妙。右翼媒体Breitbart新闻网在逐渐引导大众认为:帮助特朗普胜选的泄露事件不是俄罗斯入侵了民主党的电脑。这次特朗普利用CIA黑客工具曝光事件可以顺水推舟让CIA顶包,自己深藏功与名。
风口浪尖上的CIA和白宫本次都对流出资料的真实性不予置评。但一名知情的前情报员工斯诺登似乎认为这些文件是真实的。
CIA常用DLL文件作为攻击媒介
泄露的文件称CIA常用DLL文件(参见https://wikileaks.org/ciav7p1/cms/files/Persisted-DLL-Spec-v2-SECRET.pdf)作为攻击媒介,利用DLL其弱点通过常见的应用程序实施间谍活动,因其便于隐藏应用程序中(参见https://wikileaks.org/ciav7p1/cms/page_20251107.html)的恶意软件。
其中有一项利用DLL攻击技术的实例,CIA的某员工是著名演员威尔·法瑞尔的粉丝。“RickyBobby”计划(参见https://wikileaks.org/ciav7p1/cms/page_15728810.html)就是以法瑞尔在电影《塔拉德加之夜》(Talladega Nights)中饰演的角色Ricky Bobby命名。CIA在该计划中使用多个.NET DLL文件和一个Windows PowerShell脚本在目标的Windows PC上植入“监听站”。
CIA的漏洞利用工具如下:
Windows:
CIA“Umbrage”行动拥有一系列攻击系统(受广泛使用的微软操作系统支持)的工具,参见https://wikileaks.org/ciav7p1/cms/page_2621753.html。 这些工具包括击键记录器、逃逸沙盒策略和反病毒避免机制。CIA分析师发现控制面板(Control Panel,参见https://wikileaks.org/ciav7p1/cms/page_13763468.html)的漏洞,并且有能力将数据流(参见https://wikileaks.org/ciav7p1/cms/page_13763461.html)添加到NIFS而不被检测,从而将数据传输到存储驱动器。Windows库文件对执行恶意软件的代码非常有用,Windows主题文件(参见https://wikileaks.org/ciav7p1/cms/page_13763384.html)也是如此。
CIA有一款工具——ShoulderSurfer,专门针对Windows Exchange 2010用户。该工具会对Exchange Datastore管理进程执行代码注入攻击,借此让代理随意收集电子邮件和联系人,并无需获取用户的凭证。因此,CIA破解Exchange 2007可能比较容易。
了解Exchange及其所有漏洞:
参见https://wikileaks.org/ciav7p1/cms/files/Exchange.pdf
许多黑客工具包含OS X El Capitan,这些工具很可能还有很多变种以进一步破坏该操作系统的升级版本。对CIA而言,或许苹果的代码比微软的要具有挑战性。恶意软件通过应用程序渗入Mac,尽管该操作系统具有较强的恢复力,这些黑客工具仍有可能列出间谍软件白名单,破坏NetInstall镜像,创建僵尸程序,以及暗中进行内核调试。
OS X:
CIA也有针对苹果OS X用户的工具–
参见https://wikileaks.org/ciav7p1/cms/space_3506183.html
被曝文件中包含一个有趣的项目–QuarkMatter(参见https://wikileaks.org/ciav7p1/cms/page_21561431.html)。QuarkMatter可以使用存储在EFI系统分区上的EFI驱动隐藏长期寄生在OS X系统上的间谍软件。另外还有一种技术–SnowyOwl,使用OpenSSH客户端中的Posix线程(pthread)对目标系统执行远程监控。公开的文件还显示其中一个项目–HarpyEagle(参见https://wikileaks.org/ciav7p1/cms/page_17072220.html),用于分析苹果的Airport Extreme私钥和Time Capsule系统。
iOS:
流出的CIA文件包含大量iOS漏洞利用工具。
参见https://wikileaks.org/ciav7p1/cms/page_13205587.html
其中一些是内部开发的,有一些是从NSA和GCHQ处获取的,还有一些是从私有厂商处采购的。苹果似乎在iOS更新中修复了一些漏洞——版本8及更高的版本,这或许就是对CIA来说再无利用价值的漏洞。
例如,Redux沙盒方案和Xiphos内核漏洞利用工具被用来攻击iPhone 4S及其之后的机型、iPod touch(第五代)及之后的版本、iPad2及其之后的版本,但这两个漏洞被盘古越狱团队公开后被修复。
虽然文件中的漏洞比较旧,但大多数仍有效。尽管iOS 8似乎修补了几个漏洞,但仍然存在大量可被利用的漏洞。
GCHQ开发的漏洞利用工具Dyonedo允许未签名的代码在iOS设备上运行,而CIA开发的Persistence工具允许“在iOS7.x上创建符号链接或在iOS 8.x上重写将运行引导程序的现成文件,在每次启动(Boot)时让用户进行初始化。”
虽然完全Root是目标,但文件还详细描述了Captive Portal攻击(参见https://wikileaks.org/ciav7p1/cms/page_22052981.html)——设置浏览器让所有Web使用数据经由CIA运行的服务器。
Android:
针对安卓系统的漏洞利用工具比苹果操作系统多。
工具列表参见https://wikileaks.org/ciav7p1/cms/page_11629096.html。
这些漏洞利用工具包括:
Chronos和Creatine(专门用来攻击高通Adreno GPU的特定漏洞);
Starmie和Snubble(专门针对特定的三星手机)。
另外还有大量基于Chrome浏览器针对安卓系统的攻击,这类攻击只对较旧的Chrome版本奏效(具体版本参见https://wikileaks.org/ciav7p1/cms/page_21561399.html )。此外,这些工具里面还包含三个植入程序—Bowtie、SuckerPunch和RoidRage。公开的文件显示(参见https://wikileaks.org/ciav7p1/cms/page_28049453.html),RoidRage能监控所有无线电功能,可窃取短信。
大量漏洞利用工具可以升级特权,并允许恶意应用程序获取更多权限或完全控制受感染的设备。其中还有部分工具则可以远程访问设备,例如BaronSamedi、Dugtrio和Salazar。
值得注意的是,该列表罗列的是三年间的漏洞利用工具,也许经过修改升级后对新的安卓系统更有效。
反病毒:
CIA文件中包含大量热门反病毒系统以及攻破这些系统的策略。
CIA文件显示(参见:https://wikileaks.org/ciav7p1/cms/page_14587956.html
),CIA可以逃避F-Secure的检测机制。F-Secure有一个相当不错的触发式引擎,即可以对付木马软件,其用RAR文件字串表或复制RAR Manifest文件(参见https://wikileaks.org/ciav7p1/cms/page_2621470.html)设计了两种方法。
Avira也拥有类似的触发式引擎,且两个类似的攻击(参见https://wikileaks.org/ciav7p1/cms/page_2621467.html)似乎都奏效。因其利用价值(参见https://wikileaks.org/ciav7p1/cms/page_14587874.html)很高很受反恐人群欢迎。
检测CIA的恶意软件时,Bitdefender的触发式引擎还会给CIA带来一些问题。明文资源或简单的RXOR资源似乎无法击败Bitdefender(参见https://wikileaks.org/ciav7p1/cms/page_7995639.html)。
Comodo软件因具备超群的恶意软件检测能力(参见https://wikileaks.org/ciav7p1/cms/page_5341269.html)而被称为“巨型PITA”。但其弱点是不扫描回收站,实际上将恶意软件存储在回收站是安全的,当然不能完全保证运行时绝会被发现。Comodo软件发布版本6以来,CIA的一款漏洞利用工具“Gaping Hole of DOOM”(参见https://wikileaks.org/ciav7p1/cms/page_5341272.html)让事情变得尤为简单。它让版本6忽略恶意软件并将其视为Windows核心操作系统的一部分。其版本6.X.则会将作为系统运行的任何恶意软件自动视为合法软件。
CIA文件中有关AVG的细节不多,但至少有两种方法(参见https://wikileaks.org/ciav7p1/cms/page_14587872.html)可以击败该安全软件:包括让安装假程序(参见https://wikileaks.org/ciav7p1/cms/page_5341263.html)和恶意软件置入系统,并通过特定的网页链接将其激活。
黑客组织WreckingCrew(参见https://wikileaks.org/ciav7p1/cms/page_14588670.html)开发的一系列工具也能击败反病毒和其它程序。其中绝大多数工具正在开发之中,目前已经完成的两个软件能用来关闭安全软件并监控用户。
Signal/WhatsApp:
对隐私倡导者而言尚值得庆幸的是CIA未能成功破解Whisper Systems 创建的这个热门加密聊天协议。目前Signal 和WhatsApp正在使用该系统。
CD/DVD攻击:
世界上仍有大量人群在使用CD和DVD,因此,CIA开发的“HammerDrill”(参见https://wikileaks.org/ciav7p1/cms/page_17072172.html ),能对存储媒体加以利用。
HammerDrillv2.0可以让受感染的计算机记录用户读取的CD和DVD内容,包括里面的数据及使用时间。CIA还在v2.0中增加了一项功能:若目标正在使用Nero刻录软件,就会在刻录的新盘中安装隐藏木马。
该软件还能将279个字节的Shellcode刻录到将在32位Windows系统上运行的存储媒体,通过这种方式可以绕过卡巴斯基的反病毒软件(俄罗斯和其它地方的首选反病毒解决方案,参见https://wikileaks.org/ciav7p1/cms/page_17072186.html)。
U盘:
文件显示CIA已在U盘上动了手脚。他们将一款含攻击工具的被称为“Fight Club”(参见https://wikileaks.org/ciav7p1/cms/page_16385046.html)的软件放在U盘中,渗入目标网络/组织的供应链中。
智能电视:
CIA和MI5的英国间谍开发的“哭泣的天使”(Weeping Angel,参见https://wikileaks.org/ciav7p1/cms/page_12353643.html )工具,能将智能电视(三星)设定为“装死”模式,让用户误以为设备处于关机状态。实际上该设备仍处于开机状态,并充当监听设备。除此之外还能获取三星电视使用的无线密钥。
文件显示了CIA黑客想要涉足的研究领域,特别是控制Wi-Fi开关并进行视频捕捉,进入音频录音的缓存,并对电视浏览器实施中间人攻击。
这份文件还给出了避免电视被插入其中的U盘感染的解决方法,即将操作系统升级到固件版本1118或更高的版本。
文件还指出,1.6 GB的板载存储中,只有700MB可用于实施间谍行动。
物联网设备:
CIA正通过嵌入式开发部门(Embedded Development Branch)攻击物联网设备。但相关的文件不多。从2014年的会议记录(https://wikileaks.org/ciav7p1/cms/page_13763790.html)可以看出,分析师正在研究自动驾驶车辆、定制化消费软件、基于Linux的嵌入式系统和他们能弄到手的所有物联网设备。
CIA泄露的文件中包含部分使用的许可证密钥,其中包含图形设计软件OmniGraffle和文字编辑器Sublime的密钥(参见https://wikileaks.org/ciav7p1/cms/page_25264134.html)。CIA文件甚至具体描述了罗列的Sublime许可证密钥属于Affinity Computer Technology公司——位于弗吉尼亚州斯特林的小型电脑维修店。但外媒联系了Affinity的经理比尔ž柯林斯(Bill Collins)后他表示很困惑,根本没料到一家小小的电脑维修店与CIA有什么联系。
这些文件还包含对某些分析师个性及爱好的分析。例如,其中一名分析师是巨蟒组(Monty Python:英国六人喜剧团体,喜剧界的披头士)的粉丝(参见https://wikileaks.org/ciav7p1/cms/page_11629155.html)。
这起泄露事件涉及文件太庞大,毕竟维基解密仅仅公开的部分就已经超过过去三年斯诺登爆出的总量!想必对于开发人员或技术厂商来说,花多一点时间钻研这份文件是值得的。
E安全注:本文系E安全独家报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。