关注E安全 关注网络安全一手资讯
E安全讯,美国当地时间7月27日,维基解密公布第18批CIA Vault 7文件:“帝国”(Imperial )项目文件。
这批文件包含三款工具:“阿基里斯”(Achilles)、“艾瑞丝”(Aeris )和“海滨山黧豆”(SeaPea)。
Achilles
“阿基里斯”(Achilles)是一款可以在OS X磁盘镜像(.dmg)安装包中植入木马执行恶意脚本的工具。
Achilles 针对的目标设备为:Intel Core 2 Processor,OS X。
维基解密公开的Achilles用户指南显示 ,Achilles的执行如下:
被植入木马的DMG看起来与原来的DMG无异。
但一旦木马DMG在目标设备上运行,会出现一个窗口提示用户将镜像安装包拖拽到目录中。
当用户首次运行镜像安装包时,所有可执行文件将在真正的安装包启动之后运行。
可执行文件运行后,Achilles文件的所有其它痕迹将从“.app”安全移除。
生成的 “.app”文件与原始的“.app”非常相似。
随后对“.app”的调用将不会调用恶意可执行文件。
Aeris
“艾瑞丝”(Aeris )是一款用C语言编写的自动化植入程序(Implant),可支持大量基于POSIX的系统 (Debian、RHEL、Solaris、FreeBSD、CentOS)。这款工具支持的功能包括自动化文件渗漏、可配置的信标间隔和Jitter、独立和基于Collide的HTTPS LP支持、具有相互验证的SMTP协议支持。Aeris与NOD加密规范兼容,并提供几款类似Windows植入程序使用的架构化命令与控制。
Aeris的用户指南显示,这款工具支持的系统如下:
Debian Linux 7(i386)
Debian Linux 7 (amd64)
Debian Linux 7(ARM)
Red Hat Enterprise Linux 6(i386)
Red Hat Enterprise Linux 6 (amd64)
Solaris 11(i386)
Solaris 11(SPARC)
FreeBSD 8(i386)
FreeBSD 8(amd64)
CentOS 5.3(i386)
CentOS 5.7(i386)
SeaPea
“海滨山黧豆”(SeaPea)是一款OS X Rootkit,提供隐秘的启动功能。SeaPea会隐藏文件/目录,套接字连接和/或进程。这款Rootkit在Mac OSX 10.6和10.7上运行。
SeaPea存在一些限制:无法在单用户模式上加载,因此,在单用户模式下不会隐藏文件/目录、端口和进程。如果用户使用不同的操作系统挂载文件系统,这款Rootkit将不会隐藏相关的文件/目录。
维基解密持续供货
下面是E安全整理的维基解密自今年3月以来披露发布的其它CIA工具,点击即可查看:
“帝国”项目地址:https://wikileaks.org/vault7/#Imperial
28
E安全推荐文章
官网:www.easyaq.com
2017年7月
01
02
03
04
05
06
07
