维基解密对CIA网络武器的曝光仍在进行时。上周末,维基解密继续公布了Vault7系列名为“Grasshopper”的CIA网络工具相关文档,根据公布的文档显示,该工具主要针对Windows系统进行入侵控制,是一套具备模块化、扩展化、免杀和持久驻留的恶意软件综合平台。

在曝光的“Grasshopper”文档中,分为持久驻留机制说明、开发指导、系统设备测试、发行版本和设计架构六类共27份相关文件,这些文件主要对基于受害者客户端的恶意软件开发设计作出说明,其中包含的内幕信息侧面揭露了CIA的网络攻击入侵手段。

Grasshopper具备灵活的恶意软件定制化开发组装功能

根据曝光文档透露,CIA特工在实施入侵攻击之前,可以使用Grasshopper对目标系统进行相关信息探测分类,如操作系统类型、杀毒软件和其它相关技术细节,之后,使用Grasshopper平台自动将这些参数组合成针对特定目标的恶意软件。

为了完成定制化恶意软件的配置,Grasshopper程序使用了基于规则的定制化语言进行开发配置,如以下就是一个探测目标系统是否为Win7/Win8系统、并且未安装有卡巴斯基或诺顿杀毒软件的开发规则:

完成相关配置探测之后,Grasshopper会自动生成一个Windows客户端的恶意安装程序,方便现场特工进行安装运行。

Grasshopper支持模块化和多种操作需求

以下是Grasshopper 2.0版本的模块化架构描述:

Grasshopper执行体可以是一个或多个运行程序,而运行程序和组件之间又可以互相配合生效,最终可以实现在一个Payload上执行调用所有组件功能,达到持久驻留目的。

为了具备良好的扩展性,CIA尽量把Grasshopper生成的恶意运行程序和Payload脱离,方便特工使用其对特定目标执行特定Payload攻击。

根据曝光文档显示,针对不同Windows系统,Grasshopper生成的恶意运行程序可以以EXE、DLL、SYS或PIC格式文件有效执行Payload,实现恶意软件持久驻留。同时,Grasshopper还可生成内置恶意Payload或从其它位置启动的恶意安装程序。

曝光文档中,CIA还表明“这是一种加载至内存中的恶意程序执行方式“,当然,这也意味着传统的基于签名的杀毒软件很难检测查杀。事实上,为了实现网络攻击的隐匿性,CIA投入了大量精力进行恶意软件的免杀研究。

Grasshopper模仿借鉴了俄罗斯Carberp rootkit木马程序代码

曝光文档中包含了一份名为Stolen Goods的使用说明文件,Stolen Goods可能是Grasshopper用来对受害者系统进行持久驻留检测的一个工具组件。从Stolen Goods的名字和该文件表明,该工具是俄罗斯网络犯罪团伙常用的Carberp rootkit木马程序。Stolen Goods使用文档中是这样描述的:

采用Carberp相关的隐蔽通信、后门、漏洞等组件功能是为了适应恶意软件的持久化驻留需求,这些相关功能组件都经过了严格的分析检测,并且其中大部分代码都作了修改,只保留了很少一部分原始代码。

Grasshopper工具相关曝光文档下载:PAN,提取码:uehv

参考来源:bleepingcomputerwikileaks,freebuf小编clouds编译

声明:本文来自FreeBuf,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。