本週三（7月19日），維琪解密照例披露了CIA Vault 7系列檔案，不過與以往直接披露的工具有所不同，這次主要披露的是CIA的“陰影”（UMBRAGE）項目以及在項目中CIA承包商Raytheon Blackbird Technologies作出的詳細惡意程式分析報告。

Raytheon Blackbird Technologies的前身是美國大型國防合約商 Raytheon（雷神公司）。Raytheon 於2014年11月收購了網路安全公司 Blackbird Technologies，並成立Raytheon Blackbird Technologies，專注於分析高級惡意軟件和TTPs（即Tactics、Techniques、Procedures，主要指網絡攻擊的策略、科技與過程）。根據約定，這家公司向CIA提供已經發現的一些的惡意軟件分析報告。檔案顯示，2014年11月到2015年9月期間，Raytheon Blackbird Technologies至少向CIA提交了五份報告，這些分析報告都是CIA UMBRAGE（陰影）項目的一部分。

之前維琪解密所洩露的Vault 7相關資料表明，CIA的UMBRAGE小組專門執行false flag行動（假旗行動：是隱蔽行動的一種，指通過使用其他組織的旗幟、制服等手段誤導公眾以為該行動由其他組織所執行的行動），進而隱藏攻擊手段，對抗調查取證。CIA有個遠程設備組（ Remote Development Branch，RDB），這個小組維護一個網絡攻擊模式庫，該模式庫蒐集、總結了之前使用過的攻擊方式和科技，例如Hacking Team事件中洩露的程式碼和俄羅斯使用的技術。擁有了龐大數量的模式庫之後，新發起網絡攻擊時，就可以採取模仿，混淆等多種戰術，達到迷惑敵人，隱藏自己的目的。

UMBRAGE項目就由該小組進行維護，項目中收錄了多種惡意軟件攻擊科技，例如：鍵盤記錄、密碼收集、網絡監視器捕獲與控制、數據銷毀、持久性感染、提權、隱蔽攻擊、反殺毒軟體等等。

2017年7月19日，維琪解密公佈CIA關於“陰影惡意軟件功能模組庫”項目的檔案，檔案來自CIA承包商Raytheon Blackbird Technologies，從2014年11月21日（就在 Raytheon Blackbird Technologies 公司成立後的第三周）起開始提交並更新，到2015年9月11日才停止。這些檔案主要涉及PoC驗證、惡意軟件攻擊向量評估等，其中一部分參考資料來自一些安全公司或安全研究員所發佈的關於網絡攻擊的公開分析檔案。

Raytheon Blackbird Technologies在CIA的遠程設備組中充當“科技偵查員”，分析已被發現的惡意攻擊，並就CIA自身惡意軟件的進一步利用和PoC開發提供建議。

當然，該公司的專家也會向自家公司提供PoC想法和惡意軟件攻擊向量。這些專家認為，CIA委託承包商蒐集惡意軟件資訊並提交給遠程設備小組，主要是為了協助該小組開發、提升CIA自己的網絡攻擊科技。

Raytheon提交給CIA的五份報告簡介：

報告1 

在這份報告中，Raytheon的研究員詳細分析並記錄了HTTPBrowser RAT變種，駭客組織“猫熊使者”（PANDA EMISSARY）曾利用這個RAT工具發起攻擊。新的變種出現於2015年3月，通過未知的初始攻擊向量展開攻擊，主要目的是捕捉、蒐集擊鍵記錄。

報告2

 這份報告詳細說明了SAMURAI PANDA APT組織所利用的NfLog RAT（也叫IsSpace）的新變種。這個變種使用了Hacking Team的Flash 0-day exploit，該exploit利用CVE-2015-5122漏洞，並結合UAC繞過科技，可以偵測或枚舉代理憑證，進而繞過Windows防火牆。同時，這個變種還利用Google App Engine進行 C2 服務器代理通信。

報告3 

 這份報告是針對間諜工具“Regin”的深度分析。Regin最初於2013年發現，主要用於監控和數據蒐集，據說比Stuxnet和Duqu更加複雜。有人認為，Regin是NSA情報機構自己開發的間諜工具。

研究人員最早於2013年檢測到Regin的活動，但資料顯示，早在2008年Regin就已經很活躍了。不過，大多數人默認現時版本的Regin起源於2013年。Regin的模塊架構很有特色，具有高度靈活性，讓操作者進行針對特定個人的監控（定制化特點）。此外，Regin隱蔽性好，時間持久，有一部分攻擊功能僅通過常駐記憶體（memory resident）實現。

報告4

這份報告詳細分析了2015年年初發現的一款 “HammerToss”惡意軟件。據稱，“HammerToss”是俄羅斯政府支持的駭客所開發的惡意程式，自2014年年末就開始活動。

“HammerToss”的有趣之處在於它的架構。它可以利用Twitter帳號、Github帳號、被入侵的網站、基本隱寫術以及雲儲存功能等實現C2通訊，進而在被攻擊的目標系統中執行命令。

報告5 

這份報告詳細分析了資訊竊取木馬“Gamker”。

“Gamker”利用自我編碼注入和API hooking的管道實現攻擊。2015年8月，Virus Bulletin公司針對“Gamker”給出了長達三頁的詳細技術分析，與其他廠商給出的30多頁的分析相比，這三頁的分析反而更有技術含量。可推薦繼續關注Virus Bulletin，關注他們的更多報告。 

以下是維琪解密披露Vault 7系列檔案的時間線，詳細報導可以點擊關鍵字超連結進行閱讀：

ᗙHighRise - 攔截SMS消息並重定向至遠程CIA服務器的安卓惡意程式（2017.7.13）

ᗙ BothanSpy & Gyrfalcon -竊取SSH登入憑證的工具（2017.7.6） 

ᗙ OutlawCountry -入侵Linux系統的工具（2017.6.30） 

ᗙ ELSA - 可以對Windows用戶實施定位的惡意軟件（2017.6.28） 

ᗙ Brutal Kangaroo -入侵隔離網絡的工具（2017.6.22） 

ᗙ CherryBlossom -入侵SOHO無線路由器的工具（2017.6.15） 

ᗙPandemic–用惡意程式代替合法檔案的工具（2017.6.1） 

ᗙ Athena -與某美國公司共同開發的惡意軟件框架（2017.5.19） 

ᗙ AfterMidnight and Assassin ——  Windows惡意軟件框架（2017.5.12） 

ᗙArchimedes —— 實施中間人攻擊的工具（2017.5.5） 

ᗙ  Scribble —— Office檔案追跡工具（2017.4.28） 

ᗙWeeping Angel——入侵Samsung智慧電視的工具（2017.4.21）

ᗙ HIVE——多平臺入侵植入和管理控制工具（2017.4.14）

ᗙ Grasshopper ——Windows惡意軟件生成器（2017.4.7）

ᗙ   Marble Framework—— 秘密反監識框架（2017.3.31） 

ᗙ Dark Matter ——入侵iPhone和Mac的工具（2017.3.23）

*參攷來源： THN ，securityaffairs等，AngelaY編譯，轉載請注明來自FreeBuf.COM