维基解密的年度大戏Vault 7虽然还没到周更的程度,但更新频率也已经相当频繁,所以后续CIA泄露工具和手册的出现已经让人见怪不怪了。本周Vault 7系列更新也算比较有看点,虽然早在今年3月份,维基解密在宣布Vault 7系列问世的时候就已经简单介绍过这次的Brutal Kangaroo(残忍的袋鼠?听起来很像Ubuntu的产品代号)。
维基解密昨天放出了“残忍的袋鼠”恶意程序工具集手册,这个工具集是用来专攻物理隔离网络的,或者说未接入互联网的网络的,目标主要就是企业和关键基础设施了。总的说来,其最初的攻击向量和震网Stuxnet蠕虫还是比较相似的。残忍的袋鼠主体包括了如下这些工具:
Drifting Deadline – 这是“残忍的袋鼠”工具集主体,包含一个GUI生成器,可用于生成所有必要的恶意程序;
Shattered Assurance – 这是运行在已感染设备上的服务器组件,用Drifting Deadline生成的恶意程序来自动感染U盘(或移动存储设备);
Shadow – 在物理隔离网络中,将多台感染设备串联起来的工具,攻击者可定义一系列任务在离线计算机上执行;
“残忍的袋鼠”是怎么攻击的?
CIA的这系列工具主要针对物理隔离网络,其攻击流程还是比较复杂的,毕竟未接入互联网的设备在安全性上具备了先天优势:首先是用前面提到的Drifting Deadline,针对每个目标来生成第一和第二阶段的恶意程序。
然后就可以开始感染目标网络中的计算机了。文档中并未详述最初的感染方式,最初感染的方法可能会比较多样化,比如说首先感染企业中一台已经连接互联网的设备,在其上安装恶意程序。
这台被感染的设备在文档中被成为“primary host”,本质上就是个感染中心;然后就要等待企业内的员工在这台设备上插入U盘了,“残忍的袋鼠”组件采用恶意程序来感染这个U盘。如果这个U盘插到其它设备上,就会进行扩散感染,也就是恶意程序的第二阶段了。不过很容易想见,这个过程除非安插了内鬼,否则多少还是需要些运气的,尤其是U盘要插到primary host之上,还要插到物理隔离的设备之上。
第二阶段的恶意程序投递就和震网很相似了,都是利用恶意构造的Windows LNK快捷方式文件来传播。这些LNK文件只要在Windows资源管理器窗口中显示就能自动执行恶意payload。
负责这部分攻击的有2个exploit,分别名为Giraffe和Okabi,两者都支持32位和64位架构。不过Drifting Deadline手册中提到,后者似乎更为高效,因为它支持Windows 7/8/8.1,而Giraffe的执行向量已经在绝大部分Windows系统中修复,基本上就只对Windows XP有效。随后收集数据的过程就开始了。
被感染的设备可以协同作战
其实“残忍的袋鼠”精华所在是感染物理隔离网络之后,将其中多台感染了这只“袋鼠”的设备联合起来。实现这个特性就需要用到文首提到的Shadow工具了。手册中有描述:
“一旦多个Shadow实例得以安装,则任务和payload就能来回传送了(sent back-and-forth)。”在最初的Shadow任务执行,并且获取到一批数据之后(数据收集和分析是通过Broken Promise模块——这个模块安装在primary host之上),CIA方面就可以向被感染的物理隔离网络发出新的指令。维基解密提到:
“如果隔离网络中的多台设备都已经被CIA控制,这些设备就能组成秘密的网络来合作任务并进行数据交换。虽然文档中并未明确做出说明,但这种入侵隔离网络的方式和震网还是非常相似。”
Shadow的新任务可以用上图所示的生成器来配置,和第一阶段的Drifting Deadline类似。新版Shadow恶意程序就如此生成了,其中可以包含最新的恶意程序指令。至于新版本的Shadow感染方法,还是要从上面的第一阶段开始,感染USB设备来投递新的Shadow版本到物理隔离网络中。
CIA或许已经开发出了新版本?
Drifting Deadline手册中提到,截至2016年2月23日,已经有多款反病毒产品能够检测出“残忍的袋鼠”恶意程序,包括Avira、Bitdefender、赛门铁克等。而且实际上今年2月份,微软就发布了多款修复LNK文件处理的漏洞,本月也发布了一个。
这些已经让Giraffe和Okabi攻击无法再生效了,CIA或许早就已经开发出了新的版本。
今年早前,我们在快讯中也提到维基解密承诺会和软件供应商合作来修复Vault 7文档中提到的漏洞。不知道微软这两个月推的补丁,是否是与维基解密合作的结果。这次“残忍的袋鼠”也是Vault 7系列文档的其中一个组成部分。感兴趣的同学请等待后续的Vault 7更新吧,维基解密的更新效率还是相当高的。
“残忍的袋鼠”完整版手册点击这里查看
(责任编辑:宋编辑)
