导读 | 维基解密本周继续揭秘 CIA ,但与以往的 Vault 7 系列不同,本次维基解密披露的是 CIA 的另一个项目 Imperial 中的三款工具,主要针对运行 OS X 系统以及其他 Linux 系统的计算机,目的性较强。这是维基解密自3月以来每周一更的第 18 弹了,看来是越来越精彩啊。 |
这款工具可以让 CIA 工作人员将捆绑恶意木马的合法 Mac OS 应用植入到 DMG 文件中。这个工具的 shell 脚本用 Bash 写成,可以进行一次性命令执行,依据操作者意愿执行一份或多份指定的可执行文件。
一旦警惕性不高的用户在自己的苹果电脑上下载了被感染了恶意代码的 DMG 应用,而且将其打开并安装,那么可执行的恶意文件就可以在后台运行(一次性命令执行)。此后, Achilles 会从所捆绑的应用文件中“安全地移除”payload,让该应用看起来与正常、未受感染的应用“绝无二致”。这样一来,扫描软件和杀毒软件就很难检测到原始感染向量。美国网络情报机构常常使用一次性命令执行的做法,这样可以长期隐藏在被入侵的设备中,避开检测。
Achilles 1.0 版本在2011年就已经开发出来,不过只在 Mac OS X 10.6 版本上测试过。 Mac OS X 10.6 又叫“雪豹(Snow Leopard)”,是苹果公司2009年发布的系统版本。
第二款工具叫做 SeaPea ,是 OS X 中的 Rootkit,可以让 CIA 工作人员隐藏重要文件、目录、进程以及来自用户的 socket 连接,进而秘密安装工具,在用户不知情的情况下访问其电脑。在维基解密今年三月份揭秘的 DarkSeaSkies 资料中,SeaPea 就已经被提到过了。
这款工具也是在 2011 年开发的,可以在最新版本的 Mac OS X 10.6(雪豹)系统(32 位或 64 位兼容内核)以及 Mac OS X 10.7(狮子)系统中运行。
这个工具运行时需要获得目标 Mac 电脑的 root 权限, CIA 可以利用其进行内核级别的植入,即使系统重启也能持续感染。只有将启动盘格式化或者将被感染的 Mac 升级到新版本的系统,才能移除这个 Rootkit。
第三款工具叫 Aeris ,是用 C 语言写成的自动植入工具,专门针对 Linux(Debian, CentOS, Red Hat, FreeBSD 以及 Solaris)植入后门。利用 Aeris,CIA 工作人员可以针对不同电脑进行不同隐蔽操作,以达到不同的目的。Aeris 支持自动提取文件,攻击者常常用于这种方法通过 TLS 加密信道从被入侵的设备中窃取信息。它与 NOD 加密标准兼容,可以提供结构化命令和控制,这与一些 Windows 植入工具所用的命令和控制相似。
根据披露的文档内容, Aeris 主要影响的是如下系统:
Debian Linux 7 (i386) Debian Linux 7 (amd64) Debian Linux 7 (ARM) Red Hat Enterprise Linux 6 (i386) Red Hat Enterprise Linux 6 (amd64) Solaris 11 (i386) Solaris 11 (SPARC) FreeBSD 8 (i386) FreeBSD 8 (amd64) CentOS 5.3 (i386) CentOS 5.7 (i386)
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/104876.html