CIA泄露資料分析（黑客工具&技術）—Windows篇

背景

近期，維基解密曝光了一系列據稱來自美國中央情報局(CIA)網絡攻擊活動的祕密文件，代號爲「Vault 7」，被泄露文件的第一部分名爲「Year Zero」，共有8761個文件，包含7818個網頁和943份附件。

1、情報簡介

Year Zero暴露了CIA全球竊聽計劃的方向和規模，還包括一個龐大的黑客工具庫，該庫包含的代碼量過億，趕超大型軟件開發公司。這些黑客工具既有CIA自行開發的軟件，也有據稱是獲得英國MI5（軍情五處）協助開發的間諜程序，其中包括惡意軟件、病毒、特洛伊木馬、武器化的‘0day漏洞’、惡意軟件遠程控制系統及其相關文件等。網絡攻擊入侵活動對象包括微軟、安卓、蘋果iOS、OS X和Linux等操做系統和三星智能電視，甚至還包括車載智能系統和路由器等網絡節點單元和智能設備。

本文重點剖析Windows平臺下的攻擊行爲。

2、Windows平臺下黑客技術與工具分析

Windows平臺下的攻擊技術與工具主要分爲8種，分別爲數據蒐集、數據銷燬、服務劫持、權限升級、內存隱藏、對抗分析、取證搜查以及其餘雜項，架構以下：

（請右鍵另存上圖，放大查看。）

它們借鑑當前比較流行的木馬樣本，旨在提供能夠快速組合各類功能的解決方案，致力於開發簡單且有效的攻擊組合。

1.數據蒐集（Data Collection Component）

a) Internet Explorer Password（瀏覽器密碼）

經過直接讀取用戶註冊表項下的關鍵值，獲取IE密碼相關信息。

b) 基於MicroSoft DirectX接口的鍵盤記錄

經過調用包含DirectInput接口的dxd9.dll，用於獲取鍵盤狀態。

c) 基於MicroSoft API接口的鍵盤記錄

經過SetWindowsHookEx函數註冊一個關於WH_KEYBOARD&WH_KEYBOARD_LL的回調，並使用函數GetRawInputData、GetKeyboardState、GetAsynckeyboardState，獲取用戶輸入的鍵盤指紋。

d) 攝像頭監控

採用COM接口下DirectShow 和VFW(video for Windows)組件，獲取設備數據流信息。

2.數據銷燬（Data Destruction Component）

a) 木馬採用來自一家叫Eldos的公司的正規適用程式簽名驅動，產品名稱爲RawDisk，該產品的簽名驅動容許激活分區的磁盤可寫，使磁盤文件在鎖定狀態下也能夠被刪除，從而形成必定的惡劣影響。

3. 服務劫持（Persistent Component）

a) Image File Execution Optio（映像劫持），經過創建或者改寫註冊表鍵位Image File Execution Options有關執行文件的鍵值，從而致使程序在執行時發生異常行爲。

b) OCI.DLL Service Persistence（OCI.dll服務），經過替換系統同名dll，使得系統在啓動時加載惡意dll，並啓動OCI網絡服務，獲得系統權限，但此服務停留於NetWork Service權限，能夠訪問網絡資源。

c) Windows FAXdll注入，系統啓動後，explorer主動加載此係統目錄fxsst.dll，同名替換並使用LoadLibrary增長引用計數後，能夠防止有效卸載，並以此能夠過掉UAC。

d) TLS表，修改Windows PE文件，添加TLS表，在回調錶中加載其餘DLL代碼，能夠有效實施其餘惡意行爲。

4. 權限升級（Privilege Escalation Component）

a) Elevated COM Object UAC ByPass，採用COM對象接口獲取高權限的Explorer進程，編寫DLL代碼，實現建立com對象接口執行文件刪除操做，並注入到全部explorer進程中，判斷刪除操做是否成功，由此斷定當前進程是否爲高權限。

b) Sticky Key Process Launch（劫持粘連鍵），使用映像劫持的方法，替換啓動粘連鍵的熱鍵程序。

c) Sysprep UAC，基於白名單的方式，複製惡意DLL至sysprep目錄中，並啓動sysprep程序，加載惡意DLL得到高權限。

d) Windows File Protection ByPass Using SFC，使用SFC組件過掉Windows文件保護機制，通用系統目錄下的sfc_oc.dll的函數接口暫時禁用文件保護系統，容許直接替換系統文件，從而實施惡意操做。

5.內存隱藏（Stealth Component）

a) Remote DLL Injection via Reflection(DLL反射注入)，經過DLL反射機制，將特製的DLL插入到遠程線程中，並使其自行加載，實施惡意行爲。

b) Process Hollowing Implementation(進程替換)，以掛起線程的方式啓動程序，並在線程恢復前替換可執行文件的內容空間。

c) Process Injection Using SetWindowsLong，使用此函數的回調函數建立遠程線程，實現DLL注入。

d) Dll Memory Loading With Exception Support，內存加載DLL，加載一個DLL到當前進程中，並將新DLL加入反轉函數表以支持SHE異常處理，並在此過程當中實現惡意行爲。

e) Code Injection using ZwContinue, 掛鉤進程中的此函數，在線程得到執行權限前實現DLL注入。

f) DLL Hide(DLL隱藏)，複製DLL數據，減小計數引用，釋放DLL的內存空間，從新申請原地址空間並複製DLL數據至此，從而實現DLL隱藏。

6.對抗分析（PSP/Debugger/RE Avoidance Component）

a) Anti-Sanboxing，對抗沙盒檢測，等待用戶鼠標點擊事件的發生

b) APIObfuscation Using Hash，使用函數名稱加密字符串靜態解密函數地址，匹配每個導出函數名稱。

c) Disable System Tray Popups，禁用系統托盤的重繪消息，用於阻止其餘程序彈出的提示。

7.調查分析（Survey Component）

a) NetBIOS MAC Enumeration，找到每個適配器的MAC地址。

b) File/Registry Change Notification，監控文件與註冊表的修改。

8.其餘雜項（Miscellaneous）

a) Blind File Handle Enumeration，文件句柄的暴力枚舉，測試每個可能的文件句柄值，判斷是否爲Windows 文件句柄，並標示其是否爲有效映射且進程能夠被注入。

3、安全建議

隨着CIA數據的逐步泄露，愈來愈多的黑客工具和技術將被壞人利用，各類新型木馬病毒將會逐步面世，IT安全建議你們：

1. 不要從小網站下載軟件

小網站是黑客傳播惡意軟件的最大渠道，各類破解軟件、註冊機都是木馬病毒的溫牀，一旦下載運行就會致使機器感染木馬病毒， 最終致使數據泄露。

爲防止公司和我的的敏感數據泄露，請到正規網站下載軟件！

2. 不要打開來歷不明的外網郵件(Internet mail)

釣魚郵件是壞人入侵內網的經常使用途徑，IT安全團隊一直奮鬥在對抗惡意郵件的第一線，每日屏蔽來自外網的惡意郵件10w+封，惡意郵件攔截率達到99.9%+。

爲防止漏攔截惡意郵件進入內網，形成PC感染木馬病毒，請你們不要打開來歷不明的郵件，如沒法確認郵件安全性，請聯繫8000協助。

3. 不要訪問安全性不明的網站

網站掛馬是黑客經常使用的伎倆，黑客入侵安全防禦措施不足的網站系統，將各種下載連接替換爲木馬病毒，當用戶訪問網站時，會誤把木馬病毒下載到本地並運行。

爲了保護公司和我的的信息安全，請勿訪問安全性不明的網站，當出現「IT安全提醒：此網站禁止訪問」或「電腦管家提醒：此網站存在風險」，請及時終止訪問！