背景
近期,維基解密曝光了一系列據稱來自美國中央情報局(CIA)網絡攻擊活動的祕密文件,代號爲“Vault 7”,被泄露文件的第一部分名爲“Year Zero”,共有8761個文件,包含7818個網頁和943份附件。
一、情報簡介
Year Zero暴露了CIA全球竊聽計劃的方向和規模,還包括一個龐大的黑客工具庫,該庫包含的代碼量過億,趕超大型軟件開發公司。這些黑客工具既有CIA自行開發的軟件,也有據稱是得到英國MI5(軍情五處)協助開發的間諜程序,其中包括惡意軟件、病毒、特洛伊木馬、武器化的‘0day漏洞’、惡意軟件遠程控制系統及其相關文件等。網絡攻擊入侵活動對象包括微軟、安卓、蘋果iOS、OS X和Linux等操作系統和三星智能電視,甚至還包括車載智能系統和路由器等網絡節點單元和智能設備。
本文重點剖析Windows平臺下的攻擊行爲。
二、Windows平臺下黑客技術與工具分析
Windows平臺下的攻擊技術與工具主要分爲8種,分別爲數據蒐集、數據銷燬、服務劫持、權限升級、內存隱藏、對抗分析、取證搜查以及其他雜項,架構如下:
(請右鍵另存上圖,放大查看。)
它們借鑑當前比較流行的木馬樣本,旨在提供可以快速組合各種功能的解決方案,致力於開發簡單且有效的攻擊組合。
1.數據蒐集(Data Collection Component)
a) Internet Explorer Password(瀏覽器密碼)
通過直接讀取用戶註冊表項下的關鍵值,獲取IE密碼相關信息。
b) 基於MicroSoft DirectX接口的鍵盤記錄
通過調用包含DirectInput接口的dxd9.dll,用於獲取鍵盤狀態。
c) 基於MicroSoft API接口的鍵盤記錄
通過SetWindowsHookEx函數註冊一個關於WH_KEYBOARD&WH_KEYBOARD_LL的回調,並使用函數GetRawInputData、GetKeyboardState、GetAsynckeyboardState,獲取用戶輸入的鍵盤指紋。
d) 攝像頭監控
採用COM接口下DirectShow 和VFW(video for Windows)組件,獲取設備數據流信息。
2.數據銷燬(Data Destruction Component)
a) 木馬採用來自一家叫Eldos的公司的正規適用程式簽名驅動,產品名稱爲RawDisk,該產品的簽名驅動允許激活分區的磁盤可寫,使磁盤文件在鎖定狀態下也可以被刪除,從而造成一定的惡劣影響。
3. 服務劫持(Persistent Component)
a) Image File Execution Optio(映像劫持),通過建立或者改寫註冊表鍵位Image File Execution Options有關執行文件的鍵值,從而導致程序在執行時發生異常行爲。
b) OCI.DLL Service Persistence(OCI.dll服務),通過替換系統同名dll,使得系統在啓動時加載惡意dll,並啓動OCI網絡服務,得到系統權限,但此服務停留於NetWork Service權限,可以訪問網絡資源。
c) Windows FAXdll注入,系統啓動後,explorer主動加載此係統目錄fxsst.dll,同名替換並使用LoadLibrary增加引用計數後,可以防止有效卸載,並以此可以過掉UAC。
d) TLS表,修改Windows PE文件,添加TLS表,在回調錶中加載其他DLL代碼,可以有效實施其他惡意行爲。
4. 權限升級(Privilege Escalation Component)
a) Elevated COM Object UAC ByPass,採用COM對象接口獲取高權限的Explorer進程,編寫DLL代碼,實現創建com對象接口執行文件刪除操作,並注入到所有explorer進程中,判斷刪除操作是否成功,由此判定當前進程是否爲高權限。
b) Sticky Key Process Launch(劫持粘連鍵),使用映像劫持的方法,替換啓動粘連鍵的熱鍵程序。
c) Sysprep UAC,基於白名單的方式,複製惡意DLL至sysprep目錄中,並啓動sysprep程序,加載惡意DLL獲得高權限。
d) Windows File Protection ByPass Using SFC,使用SFC組件過掉Windows文件保護機制,通用系統目錄下的sfc_oc.dll的函數接口暫時禁用文件保護系統,允許直接替換系統文件,從而實施惡意操作。
5.內存隱藏(Stealth Component)
a) Remote DLL Injection via Reflection(DLL反射注入),通過DLL反射機制,將特製的DLL插入到遠程線程中,並使其自行加載,實施惡意行爲。
b) Process Hollowing Implementation(進程替換),以掛起線程的方式啓動程序,並在線程恢復前替換可執行文件的內容空間。
c) Process Injection Using SetWindowsLong,使用此函數的回調函數創建遠程線程,實現DLL注入。
d) Dll Memory Loading With Exception Support,內存加載DLL,加載一個DLL到當前進程中,並將新DLL加入反轉函數表以支持SHE異常處理,並在此過程中實現惡意行爲。
e) Code Injection using ZwContinue, 掛鉤進程中的此函數,在線程獲得執行權限前實現DLL注入。
f) DLL Hide(DLL隱藏),複製DLL數據,減少計數引用,釋放DLL的內存空間,重新申請原地址空間並複製DLL數據至此,從而實現DLL隱藏。
6.對抗分析(PSP/Debugger/RE Avoidance Component)
a) Anti-Sanboxing,對抗沙盒檢測,等待用戶鼠標點擊事件的發生
b) APIObfuscation Using Hash,使用函數名稱加密字符串靜態解密函數地址,匹配每一個導出函數名稱。
c) Disable System Tray Popups,禁用系統托盤的重繪消息,用於阻止其他程序彈出的提示。
7.調查分析(Survey Component)
a) NetBIOS MAC Enumeration,找到每一個適配器的MAC地址。
b) File/Registry Change Notification,監控文件與註冊表的修改。
8.其他雜項(Miscellaneous)
a) Blind File Handle Enumeration,文件句柄的暴力枚舉,測試每一個可能的文件句柄值,判斷是否爲Windows 文件句柄,並標示其是否爲有效映射且進程可以被注入。
三、安全建議
隨着CIA數據的逐步泄露,越來越多的黑客工具和技術將被壞人利用,各種新型木馬病毒將會逐步面世,IT安全建議大家:
1. 不要從小網站下載軟件
小網站是黑客傳播惡意軟件的最大渠道,各種破解軟件、註冊機都是木馬病毒的溫牀,一旦下載運行就會導致機器感染木馬病毒, 最終導致數據泄露。
爲防止公司和個人的敏感數據泄露,請到正規網站下載軟件!
2. 不要打開來歷不明的外網郵件(Internet mail)
釣魚郵件是壞人入侵內網的常用途徑,IT安全團隊一直奮鬥在對抗惡意郵件的第一線,每日屏蔽來自外網的惡意郵件10w+封,惡意郵件攔截率達到99.9%+。
爲防止漏攔截惡意郵件進入內網,造成PC感染木馬病毒,請大家不要打開來歷不明的郵件,如無法確認郵件安全性,請聯繫8000協助。
3. 不要訪問安全性不明的網站
網站掛馬是黑客常用的伎倆,黑客入侵安全防護措施不足的網站系統,將各類下載鏈接替換爲木馬病毒,當用戶訪問網站時,會誤把木馬病毒下載到本地並運行。
爲了保護公司和個人的信息安全,請勿訪問安全性不明的網站,當出現“IT安全提醒:此網站禁止訪問”或“電腦管家提醒:此網站存在風險”,請及時終止訪問!
本文轉載自騰雲閣,已獲得作者授權。