歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

美國中央情報局網絡武器庫分析與披露

來源:本站整理 作者:佚名 時間:2019-10-06 TAG: 我要投稿

2017年3月7日,維基解密首次在其網站對外曝光了美國中央情報局(CIA)相關資料,并且代號為Vault7[參考鏈接: 5],并且從當月直至9月7日每周都會對外披露其中一個項目的相關資料內容[4]。在這批泄露資料中,主要涉及其相關網絡武器庫和行動項目的代號和對應文檔介紹,鮮有具體的涉及implant(植入物)的技術實現和利用細節。
2017年4月,國外安全廠商賽門鐵克和卡巴斯基分別發布了對相關網絡武器庫的研究報告,其分別命名為Longhorn[1]和The Lamberts[2]。在相關的研究報告中給出了涉及多種網絡武器的命名和分類,以及其歸屬的關聯性判斷依據等,但涉及實際技術分析的內容依然很少。
奇安信威脅情報中心紅雨滴團隊對歷史曝光的CIA網絡武器及相關資料進行研究,并發現了多種網絡武器文件,并且根據分析的結果與現有公開資料內容進行了關聯和判定。并且我們還發現這些網絡武器曾用于攻擊中國的目標人員和機構,其相關攻擊活動主要發生在2012年到2017年(與Vault7資料公開時間相吻合),并且在其相關資料被曝光后直至2018年末,依然維持著部分攻擊活動,目標可能涉及國內的航空行業。
本報告是結合對具體網絡武器樣本的技術分析,并與公開情報中的相關資料和代號相對應起來。
 
網絡武器
Athena(雅典娜)項目
簡介
Athena(雅典娜)項目是維基解密于2017年5月19日披露的,其用于在Windows系統(從XP到Windows 10)上提供遠程信標(beacon)和程序加載的木馬程序,從其功能介紹也可以推斷出其更可能用于獲取到攻擊立足時,向目標主機植入的攻擊模塊,并用于加載和執行下階段載荷。Athena是由CIA與美國本土的Siege Technologies公司合作開發的(后者于2016年被Nehemiah Security收購)。
我們找到了和Athena相關的樣本文件,并且發現其就是卡巴斯基報告中提及的Black Lambert。
 
Loader模塊
這里對樣本進行分析,該樣本也在卡巴報告中的Black Lambert中所提及,該樣本曾出現在利用Windows 字體0day漏洞CVE-2014-4148的攻擊事件中。可以看到其導出函數并不是正常的字母名字,而是一個數字編號。我們也發現這一特征在多種攻擊樣本中出現,這也符合Vault7相關泄露資料中,其關于相關攻擊代碼的開發的約定策略。

樣本運行之后首先會檢測一些windows中的指定進程是否存在(可以看到這些都是一些比較少見的windows相關進程),如果存在則獲取對應的processid,否則獲取當前進程的processid,用于之后的注入。

其從樣本指定偏移的位置讀取payload,這個字段的偏移通過遍歷節表,找到正常節代碼最后的部分,該部分是一個去掉頭的payload,獲取到對應的位置后,讀取其中的內容并修復對應的pe頭,并且加載執行。
 
Payload模塊
Loader模塊釋放的pe文件如下所示,從該后門的函數量可以看出這是一個功能復雜的攻擊模塊,其入口函數為winlib_1。

其實現了非常豐富的控制指令,其中也包括一些特殊功能,如:
支持GUI程序的后臺點擊;
支持作為隧道轉發工具;
使用共享命名管道實施橫向移動和模塊執行。
字符串解密算法
該后門對其中使用的字符串都進行了加密,每一個加密的字符串實際上是以下的格式保存的,即前四個字節保存了加密字符中block的個數,通過xor key保存,每個block 4個字節,通過do,while循環中的算法解密。

控制指令
控制指令相關同樣是加密存放,下面對解密后的部分重要指令進行說明:
指令
功能
cmd_at
該指令用于計劃任務相關的設置。
cmd_idlewatch
該指令主要通過GetLastInputInfo監控機器設備的活動情況
cmd_wincontrol
通過postMessage向指定gui發送消息,結合SendInput鼠標左鍵的操作,再配合一開始設置的隱藏桌面,以實現對用戶機器上任意GUI應用的控制。
cmd_catInstall
該指令主要通過DCOM loader設置IPC$,ADMIN$共享的方式以實現在局域網的傳播。
其中cmd_catInstall通過共享的方式傳播下發后續的載荷,代碼下發之后刪除該共享,所以這里其實需要攻擊者獲取到相關設備的訪問憑據,否則無法設置對應的共享。
關聯和歸屬
從下圖可以看到Payload模塊實現的指令幾乎涵蓋了維基解密泄露的Athena項目文檔中所提及的所有相關控制指令。這也是我們將Black Lambert和Athena項目相關聯的原因。

下階段植入物
下階段植入物是由Payload模塊通過IPC$共享方式下發和執行的,并且在分析過程中,我們確實找到了相關的佐證依據。
下階段植入物為一個dll模塊,其落地文件名可能以隨機字符串文件名或偽裝成網絡協議相關,如Winhttp32,winDNS,winftp32,winrdp64等。其啟動主要通過兩種方式:一是通過遠程IPC管道利用regsvr32注冊安裝,二是首次在目標機器安裝后,后續以服務形態執行和持久性維持。結合其啟動方式特點,推測該模塊主要用于內網橫向移動階段,并維持持久性。
這里我們以模塊名為winhttp32.dll為例分析,其主要通過服務的方式啟動:

[1] [2] [3] [4] [5] [6] [7]  下一頁

【聲明】:黑吧安全網(http://www.eyhadu.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        彩票大数据