维基解密新释出CIA文件“雅典娜”,揭露2款专门锁定Windows电脑建立攻击管道的骇客工具

2018-01-16 10:25

导读: “雅典娜(Athena)”文件揭露,CIA与资安公司开发2款骇客工具Athena-Alpha和Athena-Bravo,协助骇客在Windows装置先前建立攻击管道,骇客未来可以利用该管道,锁定目标并且订定时程,发动任何恶意攻击

“雅典娜”骇客工具的攻击流程图

图片来源: 

维基解密

维基解密(WikiLeaks)于5月19日再次释出了美国中央情报局(CIA)新的机密文件“雅典娜(Athena)”,揭露了CIA跟美国一家资安公司Siege Technologies共同开发骇客工具,专门锁定Windows XP至Windows 10之间操作系统的电脑,协助骇客预设攻击的管道,之后可以顺利植入恶意程式,来发动目标式客制化攻击。

“雅典娜”文件中揭露了2项骇客工具,分别是Athena-Alpha和Athena-Bravo。Athena-Alpha利用远端存取服务(Remote Access service),植入可以启动攻击程式的dll执行档,来替换iprtrmgr.dll,之后载入恶意程式至srvhost。维基解密解释,原先系统预设停用远端存取服务的功能,但是,一旦电脑遭骇客安装Athena-Alpha,系统就会强制开启远端存取服务的功能。

另外,Athena-Bravo利用DNS快取服务(DNS cache service),删除了原来的dnsext.dll.执行档,也替换成可以启动攻击程式的dll执行档,来取得受骇装置的使用权限。维基解密说明,这项功能原先就预设开启,但由于这项服务是Windows 7和Windows 8的新增功能,所以,旧版的Windows操作系统不会受到影响。

维基解密指出,骇客利用上述两种工具,植入4种模组,来载入到正在执行的工作程序中,包括host.dll、engine.axe、command.axe和uninstall.axe。首先,host.dll动态加载Athena工具引擎engine.axe,安装在受骇电脑的内建内存中。再者,骇客利用engine.axe在受骇装置设定攻击时程,以及执行其他恶意程式。第三,骇客在command.axe发送控制工具引擎的命令,并同时向服务器来传递资料。最后,骇客会利用uninstall.axe,来移除骇客工具和恶意程式,也包括登录表中的host.dll和data.bin文件,但是工具引擎的code会存在内存里面。

维基解密调查发现,资安公司Siege Technologies创始人Jason Syversen拥有密码学的背景,以及曾经发动网络攻击的案例。