維基解密(WikiLeaks)本周又發表了自美國中情局(CIA)外洩的網路攻擊彈藥庫Vault 7中的Angelfire專案,它內含5大元件,鎖定的攻擊對象為微軟的Windows XP及Windows 7作業系統,其中一個元件Solartime能夠變更Windows的開機磁區。

Angelfire的五大元件分別是Solartime、Wolfcreek、Keystone、BadMFS,以及Windows Transitory File system,其中,Solartime可變更Windows的開機磁區,以載入及執行Wolfcreek,再由Wolfcreek載入與執行其他的Angelfire元件。

當中的Keystone負責啟動其他的惡意程式,且直接植入記憶體,並未觸及檔案系統,因此很難察覺。BadMFS則是個檔案系統,用來儲存由Wolfcreek安裝的所有驅動程式與工具,且所有的檔案都是加密且模糊的以避免被偵測到。

Windows Transitory File system功能與BadMFS類似,為安裝AngelFire的新手法,相較於BadMFS是個秘密的檔案系統,Windows Transitory File system可建立暫時性的檔案。

CIA曾經開發許多針對Windows的攻擊專案,Angelfire只是其中之一,然而,資安專家認為Angelfire專案不夠嚴謹,除了Keystone元件永遠只會偽裝成C:\Windows\system32\svchost.exe之外,安全產品也可偵測到BadMFS檔案系統的存在。


Advertisement

更多 iThome相關內容