CIA Vault7泄露文檔:多平臺(tái)入侵植入和管理控制工具HIVE
責(zé)編:mhshi |2017-04-20 11:24:32最近,NSA和CIA的網(wǎng)絡(luò)武器都被捅婁子了,4月14日,就在ShadowBroker公布第二批NSA網(wǎng)絡(luò)大殺器的同一天,維基解密繼續(xù)公布了Vault7系列名為HIVE(蜂巢)的CIA網(wǎng)絡(luò)工具相關(guān)文檔。文檔共6份,包括了HIVE的開(kāi)發(fā)使用和配置工作文檔等,最早版本記錄可追溯到2015年10月。
HIVE是CIA計(jì)算機(jī)網(wǎng)絡(luò)行動(dòng)小組(COG)在執(zhí)行遠(yuǎn)程目標(biāo)任務(wù)時(shí)使用的一個(gè)協(xié)助平臺(tái),由CIA嵌入式研發(fā)部門(mén)(EDB)開(kāi)發(fā),可以提供針對(duì)Windows、Solaris、MikroTik(路由器OS)、Linux和AVTech網(wǎng)絡(luò)視頻監(jiān)控等系統(tǒng)的定制植入程序,并能實(shí)現(xiàn)多種平臺(tái)植入任務(wù)的后臺(tái)控制工作,協(xié)助CIA從植入惡意軟件的目標(biāo)機(jī)器中以HTTPS協(xié)議和數(shù)據(jù)加密方式執(zhí)行命令和竊取數(shù)據(jù)。其自身具備的HTTPS協(xié)議接口為網(wǎng)絡(luò)入侵行為增添了隱蔽掩護(hù)性。
曾有一些殺軟公司和安全專(zhuān)家通過(guò)網(wǎng)絡(luò)入侵行為,偵測(cè)到了一些國(guó)家級(jí)別的網(wǎng)絡(luò)攻擊活動(dòng)使用了類(lèi)似HIVE的攻擊架構(gòu),但之前卻一直無(wú)法準(zhǔn)確溯源。而就在最近,賽門(mén)鐵克研究人員通過(guò)對(duì)vault7文檔的調(diào)查后發(fā)現(xiàn),CIA可能就是操控運(yùn)行黑客組織Longhorn的幕后黑手,Longhorn曾對(duì)至少16個(gè)國(guó)家的40個(gè)目標(biāo)系統(tǒng)發(fā)起過(guò)攻擊。賽門(mén)鐵克報(bào)告中對(duì)Longhorn的網(wǎng)絡(luò)攻擊架構(gòu)是這樣描述的:
在網(wǎng)絡(luò)入侵活動(dòng)中,對(duì)遠(yuǎn)程控制C&C端來(lái)說(shuō),Longhorn會(huì)單獨(dú)為每個(gè)目標(biāo)分配一個(gè)特定的IP和域名組合。有些奇怪的是,為了隱匿身份和行為,這些域名看似是由攻擊者自己注冊(cè)的,但這些IP地址都指向正規(guī)VPS和網(wǎng)站托管商。這些入侵活動(dòng)中涉及的惡意軟件,在與遠(yuǎn)端C&C服務(wù)器之間的交流通信卻是HTTPS方式,而且使用了自定義的底層加密協(xié)議來(lái)進(jìn)行偽裝。
此次HIVE工具相關(guān)文檔的曝光更為之前殺軟公司和安全專(zhuān)家的分析提供了佐證。
HIVE工作原理
HIVE的攻擊原理為在TCP/UDP協(xié)議通信中,執(zhí)行XOR和其它加密算法,通過(guò)軍工商諾斯·格魯曼(Northrop Grumman)研發(fā)的代理架構(gòu)BLOT和一個(gè)名為Switchblade的中間架構(gòu),在入侵目標(biāo)與CIA遠(yuǎn)程控制端進(jìn)行隱蔽通信和管理控制。其中,所有的C&C通信又通過(guò)BLOT架構(gòu)配置的Apache服務(wù)器和域名中轉(zhuǎn)腳本進(jìn)行回連控制,而且為了增強(qiáng)隱蔽性,所有HIVE使用的IP地址都可以在VPS系統(tǒng)內(nèi)完成重定向動(dòng)作。
BLOT架構(gòu)描述
每一個(gè)被植入惡意軟件的入侵目標(biāo),在與C&C端進(jìn)行反彈連接時(shí),在VPS系統(tǒng)內(nèi)由其自身攜帶的反彈信息被指定適配域名和重定向更改,之后,這些域名流量信息又會(huì)到達(dá)BLOT的代理通道。由于在VPS系統(tǒng)內(nèi)經(jīng)過(guò)重定向更改,端口等信標(biāo)信息都會(huì)被重新更改之后發(fā)送給BLOT架構(gòu),如之前通過(guò)80端口連接某域名,那么重定向更改發(fā)送給BLOT時(shí),可能就是8001端口。BLOT架構(gòu)看似就像一個(gè)流量中轉(zhuǎn)處理器,當(dāng)它接收到有效且重要信標(biāo)后,就會(huì)發(fā)送給Honeycomb進(jìn)行后端處理,并且,所有流量最終都會(huì)鏡像發(fā)送至隱蔽的Apache服務(wù)器(Cover server)。
Switchblade架構(gòu)描述
Switchblade是一個(gè)能與其它代理服務(wù)進(jìn)行交流通信的認(rèn)證代理,它使用自簽名證書(shū),還能與Nginx和Linux服務(wù)器的流量數(shù)據(jù)進(jìn)行交互處理,在入侵目標(biāo)和C&C端服務(wù)器(Cover server)之間增加隱蔽性。
HIVE工具相關(guān)文檔下載:https://pan.baidu.com/s/1eRRWkzK,提取碼:qw1t
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧