|Assassin| |AfterMidnight|

维基解密披露CIA恶意软件框架中的新工具：AfterMidnight与Assassin

发布时间:2017-05-17 09:13 作者:Elaine 来源:FreeBuf.com 点击:加载中...次

　　当整个世界都在忙于应对 WannaCry恶意软件之时，维基解密发布了CIA Vault 7工具包中新的一批文件，详细披露了针对Winodws平台上的两个恶意软件框架——AfterMidnight以及Assassin。

　　早在2017年3月7日，维基解密就披露了成千上万个来自CIA的文件及秘密黑客工具，维基解密称之为Vault 7。这被认为是CIA史上最大规模的机密文档泄露。

　　而本次5月中旬最新的文件披露，已经是Vault 7系列中的第八次文件披露。这次公布的AfterMidnight以及Assassin均属于CIA恶意软件框架。它会在受感染的计算机上监控并汇报用户行为，再由远程主机执行恶意行为。

　　AfterMidnight 恶意程序框架

　　维基解密在文件中称，攻击者会使用AfterMidnight在目标系统上进行动态载入，然后执行恶意payload。

　　恶意payload中的主控制模块，会伪装成Windows动态链接库文件(DLL)，执行Gremlins(小精灵)操作(这里的gremlins是个术语，指的是一种隐藏在目标计算机中的payload)。它会检测、破坏目标软件的功能，或者为其他gremlins提供服务。

　　目标设备一旦安装了AfterMidnight，就会使用Octopus来检查预定事项(Octopus是一种基于HTTPS的LP服务)。系统如果在检测时发现了新的预定事项，AfterMidnight就会自动下载并存储所有必要的组件，然后再在内存中载入这些新的gremlins。

　　AfterMidnight是一个伪装成Windows服务的动态链接库。它通过基于HTTPS的LP服务进行Gremlins操作。目标设备上安装了AfterMidnight后，会在配置设置下调用配置好的LP服务，然后检查是否有新的计划需要执行。如果有新的计划，它就会下载并存储所有需要的组件到本地，然后载入到内存中。所有的存储文件都以一个LP密钥加密保存。而这个密钥保存在远程计算机上，如果AfterMidnight无法与LP进行连接，则无法执行任何payload。

　　最新披露的用户指南中也指出，AfterMidnight的文件密钥保存在其他地方。程序中有一个叫做AlphaGremlin的特殊模块。AlphaGremlin中包括了一种特别的脚本语言，可以让使用者在目标设备上设定自定义的任务，然后远程执行这些恶意操作。

　　Assassin 恶意程序框架

　　Assassin 类似于AfterMidnight ，可以理解为针对微软Windows操作系统的自动植入软件。它为攻击方提供了远程数据收集的平台。Assassin 安装在目标计算机上后，这个工具会在Windows服务进程中运行植入程序，允许攻击者在目标设备上运行恶意任务，整体作用与AfterMidnight非常类似。

　　Assassin中总共包含了四个子系统：分别是implant, Builder, Command and Control以及Listening Post。

　　Implant子系统中具有该工具的核心逻辑及功能部分，如通讯功能和任务执行功能。通过Builder可以对此进行配置并部署在目标计算机上。

　　Builder子系统则是对植入及部署可执行文件之前，提供了一个定制化的命令行界面，这样在植入操作执行之前可以先设定植入的相关配置。

　　Command and Control子系统则像是操作和 Listening Post (LP)之间的接口，LP来允许Assassin Implant与Command and Control子系统通过web服务器进行通讯。