雷鋒網按：本文作者騰訊反病毒實驗室。

事件概述

美國時間3月7日，維基解密（WikiLeaks）網站公布了大量據稱是美國中央情報局（CIA）的內部文件，其中包括了CIA內部的組織資料，對電腦、手機等設備進行攻擊的方法技術，以及進行網絡攻擊時使用的代碼和真實樣本。利用這些技術，不僅可以在電腦、手機平臺上的Windows、iOS、Android等各類操作系統下發起入侵攻擊，還可以操作智能電視等終端設備，甚至可以遙控智能汽車發起暗殺行動。

維基解密將這些數據命名為“7號軍火庫”（Vault 7），一共有8761份文件，包括7818份網頁以及943個附件。在公布時，維基解密對文件內容進行了一些刪節處理，包括個人真實信息（姓名、郵件地址等），數以萬計的IP地址，以及真實的二進制文件。

維基解密表示在對文件進行進一步的分析之后，會逐步公開這些被刪節的信息。同時，維基解密稱此次公布的數據只是一系列CIA機密材料的第一部分，被稱為“元年”（Year Zero），后續還會有更多資料陸續公布。

泄漏內容

此次公布的數據都是從CIA的內網保存下來的，時間跨度為2013到2016年。這批文檔的組織方式類似于知識庫，使用Atlassian公司的團隊工作共享系統Confluence創建。數據之間有明顯的組織索引關系，可以使用模板對多個資料進行管理。很多資料有歷史改動的存檔，7818份資料中除去存檔共有1136個最新數據。943個附件基本上都可以在資料中找到對應的鏈接，屬于其內容的一部分。

具體而言，這些資料可以分為如下幾類：

 

• CIA部門資料，包括部門的介紹，部門相關的黑客項目，以及部門內部的信息分享。

• 黑客項目資料，包括一些不屬于特定部門的黑客工具、輔助項目等，其中有項目的介紹，使用說明以及一些技術細節。

• 操作系統資料，包括iOS、MacOS、Android、Linux、虛擬機等系統的信息和知識。

• 工具和開發資料，包括CIA內部用到的Git等開發工具。

• 員工資料，包括員工的個人信息，以及員工自己創建的一些內容。

• 知識庫，這里面分門別類地存放了大量技術知識以及攻擊手段。其中比較重要的是關于Windows操作系統的技術細節和各種漏洞，以及對于常見的個人安全產品（Personal Security Products）的繞過手段，包括諾頓、卡巴斯基、賽門鐵克、微軟殺毒以及瑞星等安全產品。

總的來看，這些數據雖然有組織關系，但是作為工作平臺而言，并沒有形成嚴格的規范，很多文件都是隨意放置的，甚至還包括asdf這樣的測試文件，更像是一個內部的知識共享平臺。

典型兵器

在這次公布的數據中，一些比較值得注意的兵器項目如下：

• Weeping Angel

Weeping Angel(哭泣的天使)是一款由CIA Embedded Devices Branch(嵌入式設備組)和英國MI5共同開發的針對三星智能電視的竊聽軟件。三星智能電視使用的是Android操作系統，該竊聽軟件感染智能電視后，會劫持電視的關機操作，保持程序的后臺運行，讓用戶誤以為已經關機了。

它會啟動麥克風，開啟錄音功能，然后將錄音內容回傳到CIA的后臺服務器中。考慮到三星智能電視使用的是Android操作系統，推測該惡意軟件具備感染Android手機的能力。韓國和美國是三星智能電視的最主要消費國家。

• HIVE

HIVE(蜂巢)是CIA開發的遠程控制后臺項目，該項目負責多個平臺的后臺控制工作。從泄漏的文件來看，HIVE系統在2010年10月26日發布了第一版，直到2014年1月13日一共更新到2.6.2版本。作為間諜軟件最重要的部分，Command & Control Server就由該項目負責。整體上，植入目標機器中的間諜軟件，通過HTTPS協議同后臺C&C服務器進行交互，整個通信過程使用了，數據加密，身份鑒權等諸多信息安全高級技術。同時在異常處理和服務器隱藏等關鍵模塊的設計上，也體現出國家隊的技術水平。

從架構設計上分析，HIVE分為兩層，第一層直接與間諜軟件連接，部署在商用的VPS(Vritual Private Server)上。第一層將所有流量通過VPN加密轉發到第二層。轉發策略是如果流量經過身份鑒權，確認是目標機器，就會向代號為”Honeycomb”的服務器集群轉發，這里會對收集到的信息進行存貯和分析，如果鑒權失敗，就會向一個無害的網站轉發，達到重要服務器不被暴露的目的。

• UMBRAGE

UMBRAGE(朦朧的外表)取自英語古語，有朦朧虛無的意思。該項目主要目的是隱藏攻擊手段，對抗調查取證。現實世界中，每一個案件，背后無論多么撲溯迷離，在現場一定會留下線索，如果是慣犯，兇手會有一定的作案模式。在網絡世界中也是一樣的，每一次發動的網絡攻擊，都會和之前的攻擊有著千絲萬縷的聯系，都能提取出一定的攻擊模式。

CIA的Remote Devices Branch (遠程設備組)，收集維護了一個網絡攻擊模式庫，該模式庫總結了之前使用過的攻擊方式和技術，例如包含Hacking Team泄漏出的代碼和俄羅斯使用的技術。擁有了龐大數量的模式庫之后，對于新發起的網絡攻擊，可以采取模仿，混淆等多種戰術，達到迷惑敵人，隱藏自己的目的。UMBRAGE項目包含了惡意軟件大部分功能模塊，例如：鍵盤記錄器，密碼收集器，攝像頭控制，數據銷毀，提權，反殺毒軟件等等。

• Fine Dining和Improvise (JQJIMPROVISE)

"Fine Dining"（美食大餐）提供了標準化的調查問卷，CIA的OSB (Operational Support Branch)部門會使用該調查問卷，用于將辦案人員的請求轉換為針對特定操作的黑客攻擊的技術要求。問卷可以幫助OSB在現有的攻擊工具集中選擇合適的攻擊工具，并將選好的攻擊工具清單傳遞給CIA的負責配置攻擊工具的運營人員。OSB在這里充當了CIA運營運營人員和相關技術支持人員的接口人的角色。

調查問卷會讓填寫者填寫諸如目標計算機使用的操作系統、網絡連接情況、安裝的殺毒軟件等信息，隨后會由"Improvise"（即興演出）處理。"Improvise"是一個用于配置、后處理、payload設置和execution vector選擇的工具集，可支持所有主流操作系統。"Improvise"的配置工具如Margarita允許NOC（Network Operation Center）根據"Fine Dining"問卷的要求來定制工具。

"Fine Dnining"用于收集攻擊需求，而"Improvise"用于將攻擊需求轉化為攻擊工具，這兩個工具相互配合使用，可以準備、快速的對任何特定目標實施攻擊?？梢?，CIA已經實現了對指定目標的攻擊實現了高度的定制和高效的配置。

后續

此次公開的數據龐大，并且還有部分數據未公布。騰訊反病毒實驗室會持續關注該事件，跟進最新進展；同時繼續深入分析現有內容，挖掘其中涉及的安全漏洞、入侵手法和攻擊工具，第一時間披露更加具體的細節信息。

同時也在這里提醒廣大用戶，此次公布的數據中包含大量漏洞信息和攻擊工具，可能被不懷好意的人利用，成為他們手中新的武器。希望廣大用戶最近提高警惕，留心關注最新的安全新聞，注意及時更新電腦、手機上的安全防范措施，避免遭受此次事件的負面影響。

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。