の最大のスキャンダルの1つ 2017, ウィキリークスとCIAを含むもの, 分単位でエスカレートしています. 現在、代理店のチームの1つが、公開されているマルウェアのサンプルから取得したコードと手法の再利用を専門としていることがわかっています。.
問題のチームはUmbrageと呼ばれ、CIAのサイバーインテリジェンスセンターの下にあるリモート開発ブランチの一部です。. チームは、実際の攻撃で使用される実際のマルウェアから取得した技術のライブラリを維持しています. この「借用した知識」は、さまざまなCIAプロジェクトに適用されます.
現実のマルウェアからどのような技術を借りてきたのか?
ワイパーマルウェアShamoonのファイルワイプ実装が使用されました. 昨日書いたように, ワイパーマルウェアが2番目のバージョンで戻ってきました, StoneDrillと呼ばれる新しく発見された作品と一緒に.
関連している: StoneDrill, シャムーン 2.0: ワイパーマルウェアが良くなる
Shamoonの初版はコマーシャルで使用されました, Eldosという会社によるRawDiskと呼ばれるデジタル署名されたドライバー. このドライバーを使用すると、ファイルがオペレーティングシステムによってロックされている場合でも、アプリでファイルを上書きできます。. システムにインストールする必要があるだけです.
Umbrageチームが行ったことは、ShamoonのコーダーがRawDiskドライバーのライセンスチェックをバイパスし、Reboundという名前の独自の部分に同じディスクワイピング手法を適用した方法を分析することでした。. 詳細については、 ウィキリークス ページ.
不思議なことに, マルウェア対策プログラムやマルウェア研究者でさえ、CIAのリバウンドに遭遇し、実際にShamoonのバリエーションとして特定する可能性があると考えられています。!
シャムーン以外にも, CIAの特別チームは、既知のマルウェアから取得した他の手法やコードスニペットも使用しています。. Umbrageによって取得されたリポジトリは、データ収集などのさまざまな理由で使用される可能性があります, ステルス, AV製品をバイパスする, 永続性, 特権の昇格, 等.
関連している: ハッキングチームが暗号化防止を提案, FBIへのガリレオツール
他のいくつかの例を次に示します: 永続化手法は、 HiKitルートキット; 2つのアンチサンドボックス技術が トロイの木馬Upclicker と 核エクスプロイトパック; ウェブカメラのキャプチャ技術は、 DarkComer RAT. 興味深いことに, 他の手法も採用されましたが、それらが取得されたマルウェアの正確な部分はドキュメントに指定されていませんでした.
再利用されたマルウェアを使用したいくつかの内部プロジェクトのコードネームがリストされています. でも, 彼らが実際に何ができるかについての情報はほとんどありません. 1つの例外がありました, でも, 吹き替えサンドシャーク. 別のドキュメントで「リスニングポスト」ソフトウェアとして見つかりました, NetworkWorldレポート. それにもかかわらず, 借りたテクニックがどのように活用されたかを推測するのは難しくありません。それはそれらの機能によって何らかの形で推測されるからです。.
驚くことではないが, Umbrageは、ハッキングチームから漏洩したコードにも魅了されました。 2015.
関連している: 話す(a)r概念実証マルウェアがヘッドフォンをスパイに変える
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: