CIA泄露文档最新曝光:针对Windows系统的网络武器Grasshopper

维基解密对CIA网络武器的曝光仍在进行时。上周末,维基解密继续公布了Vault7系列名为“Grasshopper”的CIA网络工具相关文档,根据公布的文档显示,该工具主要针对Windows系统进行入侵控制,是一套具备模块化、扩展化、免杀和持久驻留的恶意软件综合平台。

在曝光的“Grasshopper”文档中,分为持久驻留机制说明、开发指导、系统设备测试、发行版本和设计架构六类共27份相关文件,这些文件主要对基于受害者客户端的恶意软件开发设计作出说明,其中包含的内幕信息侧面揭露了CIA的网络攻击入侵手段。

Grasshopper具备灵活的恶意软件定制化开发组装功能

根据曝光文档透露,CIA特工在实施入侵攻击之前,可以使用Grasshopper对目标系统进行相关信息探测分类,如操作系统类型、杀毒软件和其它相关技术细节,之后,使用Grasshopper平台自动将这些参数组合成针对特定目标的恶意软件。

为了完成定制化恶意软件的配置,Grasshopper程序使用了基于规则的定制化语言进行开发配置,如以下就是一个探测目标系统是否为Win7/Win8系统、并且未安装有卡巴斯基或诺顿杀毒软件的开发规则:

完成相关配置探测之后,Grasshopper会自动生成一个Windows客户端的恶意安装程序,方便现场特工进行安装运行。

Grasshopper支持模块化和多种操作需求

以下是Grasshopper 2.0版本的模块化架构描述:

Grasshopper执行体可以是一个或多个运行程序,而运行程序和组件之间又可以互相配合生效,最终可以实现在一个Payload上执行调用所有组件功能,达到持久驻留目的。

为了具备良好的扩展性,CIA尽量把Grasshopper生成的恶意运行程序和Payload脱离,方便特工使用其对特定目标执行特定Payload攻击。

根据曝光文档显示,针对不同Windows系统,Grasshopper生成的恶意运行程序可以以EXE、DLL、SYS或PIC格式文件有效执行Payload,实现恶意软件持久驻留。同时,Grasshopper还可生成内置恶意Payload或从其它位置启动的恶意安装程序。

曝光文档中,CIA还表明“这是一种加载至内存中的恶意程序执行方式“,当然,这也意味着传统的基于签名的杀毒软件很难检测查杀。事实上,为了实现网络攻击的隐匿性,CIA投入了大量精力进行恶意软件的免杀研究。

Grasshopper模仿借鉴了俄罗斯Carberp rootkit木马程序代码

曝光文档中包含了一份名为Stolen Goods的使用说明文件,Stolen Goods可能是Grasshopper用来对受害者系统进行持久驻留检测的一个工具组件。从Stolen Goods的名字和该文件表明,该工具是俄罗斯网络犯罪团伙常用的Carberp rootkit木马程序。Stolen Goods使用文档中是这样描述的:

采用Carberp相关的隐蔽通信、后门、漏洞等组件功能是为了适应恶意软件的持久化驻留需求,这些相关功能组件都经过了严格的分析检测,并且其中大部分代码都作了修改,只保留了很少一部分原始代码。

本文转自d1net(转载)

时间: 2017-07-05

CIA泄露文档最新曝光:针对Windows系统的网络武器Grasshopper的相关文章

Vault 7泄露文档后续:思科针对某个影响到300款交换机的漏洞发出预警

CIA Vault 7泄露事件余温未过,思科专家就发现其IOS与IOS XE软件集群管理协议存在远程代码执行漏洞. 最近维基解密刚刚宣布计划与某些IT企业分享一些有关他们产品存在缺陷的细节,CIA Vault7数据泄露事件中就包括一些黑客工具和技术对这些漏洞的利用.阿桑奇给这些公司发了一封"有条件"的邮件,要求这些IT企业必须满足并执行这些条件才能获得这些细节信息. 但是看起来,某些IT巨头是不甘于就这样接受阿桑奇的条件,思科就开始了自己的内部检测,分析了包括Vault 7在内的所有文

中央情报局CIA绝密文档在中国互联网被贩卖

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 有一些人,这样教导大家: "我们有了联合国,有了WTO,有了那么多的国际协议和组织,就是希望能用文明和规则来解决问题,这有利于大家的共同繁荣.国际贸易中有争端和摩擦是极其正常的事情,犯不着动辄就说人家是以强凌弱欺负咱们,所以要打贸易战,要拼命." 想起一句话:"如果道歉都有用,要警察做什么?" 同样,&

Windows系统常用网络命令使用技巧详解

我想大家不会忘记Windows是从简单的DOS字符界面发展过来的.虽然我们平时在使用Windows操作系统的时候,主要是对图形界面进行操作,但是DOS命令我们仍然非常有用,下面就让我看来看看这些命令到底有那些作用,同时学习如何使用这些命令的技巧. 一.Ping命令的使用技巧 Ping是个使用频率极高的实用程序,用于确定本地主机是否能与另一台主机交换(发送与接收)数据报.根据返回的信息,我们就可以推断TCP/IP参数是否设置得正确以及运行是否正常.需要注意的是:成功地与另一台主机进行一次或两次数

AKKA文档(java)——角色系统

角色是封装了状态与行为的对象,它们通过交换放入接收者信箱的消息实现两两之间的通讯.从某种意义上说,角色是最严格的面向对象编程,不过最好还是把它们当作人来看待:当用角色为一个方案建模时,想象有一群人,并给他们分配了任务,他们在一个组织结构中发挥职能作用,并想象如何做到故障升级(就像在不需要考虑实际利益的情况下与人打交道,也就是说我们不需要关心他们的情绪变化或道德问题).这样的结果可以充当构建软件的心理脚手架. 注意:一个角色系统是一个会分配1-N个线程的重量级结构,因此为每个逻辑上的应用创建一个角

[文档]企业私有云及其系统架构

企业私有云及其系统架构 --邓侃 temp_12040515033358.pdf

Windows系统常见网络故障解决方法

ADSL经常掉线怎么办?ADSL间断性地无法获得IP地址怎么办?上网正常但无法打开任何网页怎么办?看完本文,相信可以帮你解答这些问题. ADSL经常掉线 我的ADSL自安装后基本上就没有正常过,不仅上网时经常掉线,而且速度还非常慢,让人不胜其烦.请问,可能是什么原因?应当如何解决? 可能的故障原因有五个: 第一,ADSL Modem或分离器故障.ADSL Modem或分离器的质量有问题,将造成频繁的掉线故障.建议借用一套能正常使用的设备,更换后再进行测试. 第二,ADSL线路故障.住宅距离局方机

黑客如何DDOS攻击Windows系统_网络冲浪

首先说我们用来攻击的客户机和服务器的配置方法,使用当下最有名的REDHAT LINUX进行测试,本次攻击测试我使用的是FEDORA CORE3 ,软件用的是最有名的DDOS攻击工具TFN2K LINUX版,被攻击的WINDOWS服务器系统使用的是WINDOWS2000SERVER 服务开有APACHE2 FTP VNC关系不大,主要攻击APACHE 废话不说了,开始设置服务器. 0.解压 tar -zxvf tfn2k.tgz 1.安装TFN2K TFN2K为开放原代码的软件,所以需要我们进行编

斯诺登最新泄漏文档:揭秘美国秘密监控基地——澳大利亚“松树谷”

本文讲的是斯诺登最新泄漏文档:揭秘美国秘密监控基地--澳大利亚"松树谷",近日,前国家安全局雇员爱德华·斯诺登(Edward Snowden)最新泄露的文档,暴露了位于澳大利亚北部领地的偏僻小镇旁的某个美国机密设施,该秘密基地通过密切监控无线通讯,协助美军完成军事任务. 据悉,此次泄漏的文档属于2013年斯诺登泄露的大量NSA 机密资料中的一部分,这些资料暴露了美国政府监控全球的计划及程度.只是最新的这批文档在近期才被 The Intercept公开发布. 美国知名新闻媒体The In

下载 | 影子经纪人9月订阅服务 Windows信息远程窃密工具UNITEDRAKE 斯诺登文档曾提及

影子经纪人9月订阅服务中销售的漏洞还不清楚有哪些,但据外媒schneier称影子经纪人发布了一个Windows远程信息窃取工具UNITEDRAKE ,本文末尾包含UNITEDRAKE工具用户手册.这个工具曾经在斯诺登泄露的文件中被展示过.文末也提供了斯诺登的相关文档下载. 影子经纪人9月订阅服务 在5月的时候, 影子经纪人公布月度邮件自服务计划, 自打那以后除非订阅用户,就看不到具体的内容了.6月份,影子经纪人订阅服务还涨价了 . 今天小编刚刚从Twitter上看到 @x0rz 透露了一点信息,