Το WikiLeaks αποκλύπτει το CIA Vault 7 AFTERMIDNIGHT & ASSASSIN

 

Τα WikiLeaks αποκλύπτουν το CIA Vault 7 AFTERMIDNIGHT & ASSASSIN

 

WikiLeaks Releases CIA Vault 7 AFTERMIDNIGHT & ASSASSIN

 

Το WikiLeaks δημοσιεύει τα "AfterMidnight" και "Assassin", δύο πλαίσια κακόβουλου λογισμικού της CIA για την πλατφόρμα Microsoft Windows.

 

WikiLeaks Counter Intelligence

Το "AfterMidnight" επιτρέπει στους χειριστές να φορτώνουν και να εκτελούν δυναμικά φορτία κακόβουλου λογισμικού σε μια μηχανή-στόχο. Ο κύριος ελεγκτής μεταμφιέζεται ως αυτοσυντηρούμενο DLL υπηρεσίας των Windows και παρέχει ασφαλή εκτέλεση του "Gremlins" μέσω ενός συστήματος με βάση το HTTPS Listening Post (LP) που ονομάζεται "Octopus".

Αφού εγκατασταθεί σε ένα μηχάνημα-στόχο, ο AM θα ​​καλέσει ξανά σε ένα διαμορφωμένο LP σε ένα προγραμματιζόμενο πρόγραμμα, ελέγχοντας εάν υπάρχει ένα νέο σχέδιο για να εκτελεστεί. Εάν υπάρχει, κατεβάζει και αποθηκεύει όλα τα απαραίτητα στοιχεία πριν φορτώσει όλα τα νέα gremlins στη μνήμη.

Τα "Gremlins" είναι μικρά ωφέλιμα φορτία AM που προορίζονται να τρέχουν κρυμμένα στο στόχο και είτε να υπονομεύσουν τη λειτουργικότητα του στοχευμένου λογισμικού, ή να ερευνήσουν το στόχο (συμπεριλαμβανομένης της απομάκρυνσης δεδομένων) είτε να παρέχουν εσωτερικές υπηρεσίες για άλλα gremlins.

Το ειδικό ωφέλιμο φορτίο "AlphaGremlin" έχει ακόμη και μια προσαρμοσμένη γλώσσα σεναρίου, η οποία επιτρέπει στους χειριστές να προγραμματίζουν τις προσαρμοσμένες εργασίες που πρέπει να εκτελούνται στο CIA Vault 7 στο μηχάνημα-στόχο.

 

Το "Assassin" είναι ένα παρόμοιο είδος κακόβουλου λογισμικού. Πρόκειται για ένα αυτοματοποιημένο εμφύτευμα που παρέχει μια απλή πλατφόρμα συλλογής σε απομακρυσμένους υπολογιστές που εκτελούν το λειτουργικό σύστημα Microsoft Windows.

Μόλις εγκατασταθεί το εργαλείο στο στόχο, το εμφύτευμα εκτελείται μέσα σε μια διαδικασία υπηρεσιών των Windows. Το "Assassin" (όπως ακριβώς και το "AfterMidnight") θα ενημερώνει περιοδικά τις διαμορφωμένες θέσεις ακρόασης για να ζητήσει την εκτέλεση εργασιών και την αποστολή των αποτελεσμάτων. Η επικοινωνία πραγματοποιείται μέσω ενός ή περισσοτέρων πρωτοκόλλων μεταφοράς όπως έχουν διαμορφωθεί πριν ή κατά τη διάρκεια της ανάπτυξης. Τα υποσυστήματα "Assassin" C2 (Command and Control) και LP (Listening Post) αναφέρονται συλλογικά ως "The Gibson" και επιτρέπουν στους χειριστές να εκτελούν συγκεκριμένες εργασίες σε έναν μολυσμένο στόχο.

 

Διαρροή εγγράφων:

 

DOC: AfterMidnight v1.0 Users Guide

 

DOC: AfterMidnight Diagrams

 

DOC: AlphaGremlin v0.1.0 Users Guide

 

DOC: Assassin v1.4 Users Guide

 

DOC: Assassin v1.3 Training      see more

 

 

WikiLeaks publishes “AfterMidnight” and “Assassin”, two CIA malware frameworks for the Microsoft Windows platform.

WikiLeaks Counter Intelligence“AfterMidnight” allow operators to dynamically load and execute malware payloads on a target machine. The main controller disguises as a self-persisting Windows Service DLL and provides secure execution of “Gremlins” via a HTTPS based Listening Post (LP) system called “Octopus”. Once installed on a target machine AM will call back to a configured LP on a configurable schedule, checking to see if there is a new plan for it to execute. If there is, it downloads and stores all needed components before loading all new gremlins in memory. “Gremlins” are small AM payloads that are meant to run hidden on the target and either subvert the functionality of targeted software, survey the target (including data exfiltration) or provide internal services for other gremlins. The special payload “AlphaGremlin” even has a custom script language which allows operators to schedule custom tasks to be executed CIA Vault 7on the target machine.

“Assassin” is a similar kind of malware; it is an automated implant that provides a simple collection platform on remote computers running the Microsoft Windows operating system. Once the tool is installed on the target, the implant is run within a Windows service process. “Assassin” (just like “AfterMidnight”) will then periodically beacon to its configured listening post(s) to request tasking and deliver results. Communication occurs over one or more transport protocols as configured before or during deployment. The “Assassin” C2 (Command and Control) and LP (Listening Post) subsystems are referred to collectively as” The Gibson” and allow operators to perform specific tasks on an infected target.

Leaked Documents

DOC: AfterMidnight v1.0 Users Guide

DOC: AfterMidnight Diagrams

DOC: AlphaGremlin v0.1.0 Users Guide

DOC: Assassin v1.4 Users Guide

DOC: Assassin v1.3 Training      see more

http://ermionh.blogspot.gr/2017/05/wikileaks-cia-vault-7-aftermidnight.html