维基解密披露CIA Grasshopper远程木马套件 Windows预安装环境、Carberp财务恶意软件的计算机驻留方法都用上了...

2017年4月7日，WikiLeaks 披露了第七批文档 "Grasshopper" ，CIA's Grasshopper framework其中包含了 27个文档 ,这是一个平台，用于构建自动以的恶意软件，主要针对微软Windows 操作系统。

维基解密第七批披露文档原文如下

Grasshopper提供了各种各样的模块, CIA使用这些模块构建自定义的木马，它的行为会有所不同，但会在不同的计算机上保持它的持久可用性，这取决于捆绑过程中选择的特定特征和功能。此外，Grasshopper提供了一种非常灵活的语言，这种语言可以制定规则，用于在目标设备上执行一个预安装的评估，这样做是为了确保目标具有正确的配置, 才会安装有效负载。这样, CIA可以构建或简单或复杂的逻辑,比如判断目标设备运行的是特定版本的 microsoft windows, 或者判断某个特定的防病毒产品正在运行。

小编：这里描述的就是Windows预安装环境，Windows预安装是什么？请参看

https://www.microsoft.com/china/licensing/sa/benefits/winpe.mspx

Grasshopper allows tools to be installed using a variety of persistence mechanisms and modified using a variety of extensions (like encryption). The requirement list of the Automated Implant Branch (AIB) for Grasshopper puts special attention on PSP avoidance, so that any Personal Security Products like 'MS Security Essentials', 'Rising', 'Symantec Endpoint' or 'Kaspersky IS' on target machines do not detect Grasshopper elements.

One of the persistence mechanisms used by the CIA here is 'Stolen Goods' - whose "components were taken from malware known as Carberp, a suspected Russian organized crime rootkit." confirming the recycling of malware found on the Internet by the CIA. "The source of Carberp was published online, and has allowed AED/RDB to easily steal components as needed from the malware.". While the CIA claims that "[most] of Carberp was not used in Stolen Goods" they do acknowledge that "[the] persistence method, and parts of the installer, were taken and modified to fit our needs", providing a further example of reuse of portions of publicly available malware by the CIA, as observed in their analysis of leaked material from the italian company "HackingTeam".

The documents WikiLeaks publishes today provide an insights into the process of building modern espionage tools and insights into how the CIA maintains persistence over infected Microsoft Windows computers, providing directions for those seeking to defend their systems to identify any existing compromise

Grasshopper 软件部署手册

https://wikileaks.org/ciav7p1/cms/page_17072532.html

第七批文档显示 Grasshopper使用了Carberp财务恶意软件的计算机驻留方法

2013年疑似俄罗斯恶意软件的源代码在网上流出时，猜猜有谁用过？维基解密最新爆料称美国中情局曾借用了其中一些代码，用于中情局自己的黑客行动。

维基解密周五发布了27份文件，据称详细地描述了美国中情局如何针对Windows操作系统定制自己的恶意软件。根据这些文件，美国中情局在开发自己名为Grasshopper的黑客工具时，借用了恶意财务软件Carberp的一些元素。

Carberp是一款从受害者电脑上窃取网银凭证或其他财务信息的木马程序，臭名昭著。该恶意软件很可能来自地下犯罪世界，在俄罗斯和其他前苏联国家尤其猖獗。2013年，该恶意软件源代码流出，激起安全圈的担忧，担心更多网络犯罪分子会利用这款恶意软件。

周五的维基解密爆料包括一份疑似美国中情局用户手册，显示该机构对这款恶意软件感兴趣，特别是该恶意软件如何在Windows电脑中存留并肆虐。这家美国间谍机构据称在一本日期为2014年的用户手册中写道：

“该恶意软件的存留方法以及安装程序的一部分被拿来改进，以适合我们的需求。”

目前还不清楚中情局为什么选择了Carberp。然而，借用的元素仅被用于中情局Grasshopper黑客工具的“存留模块”。根据另一份文档，这个黑客工具被用来构建配有不同payload的自定义恶意软件。

维基解密的爆料还描述了与Grasshopper配套的其他几个模块。这些模块通过利用Windows任务管理器或者Windows注册表运行键等其他方式让恶意软件在电脑上存留。

这次维基解密泄露的文档中并未包含Grasshopper源代码

然而，周五的爆料并未包含实际的源代码。不过，这些文件可能有利于人们检测中情局的黑客工具——这也是维基解密公布这些机密信息的动机。

上个月，维基解密开始公布一些据称从美国中情局获取的资料。第一批公布的解密资料描述了中情局如何拥有一个从已公开恶意软件借用而来的黑客技术库。

这家美国间谍机构迄今拒绝对维基解密所公布文件的真实性做评论。

原文发布时间：2017年3月14日

本文由：csoonline发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/wikileaks-releases-vault-7-grasshopper

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站