CIA泄露文档最新曝光：针对Windows系统的网络武器Grasshopper

维基解密对CIA网络武器的曝光仍在进行时。上周末，维基解密继续公布了Vault7系列名为“Grasshopper”的CIA网络工具相关文档，根据公布的文档显示，该工具主要针对Windows系统进行入侵控制，是一套具备模块化、扩展化、免杀和持久驻留的恶意软件综合平台。

在曝光的“Grasshopper”文档中，分为持久驻留机制说明、开发指导、系统设备测试、发行版本和设计架构六类共27份相关文件，这些文件主要对基于受害者客户端的恶意软件开发设计作出说明，其中包含的内幕信息侧面揭露了CIA的网络攻击入侵手段。

Grasshopper具备灵活的恶意软件定制化开发组装功能

根据曝光文档透露，CIA特工在实施入侵攻击之前，可以使用Grasshopper对目标系统进行相关信息探测分类，如操作系统类型、杀毒软件和其它相关技术细节，之后，使用Grasshopper平台自动将这些参数组合成针对特定目标的恶意软件。

为了完成定制化恶意软件的配置，Grasshopper程序使用了基于规则的定制化语言进行开发配置，如以下就是一个探测目标系统是否为Win7/Win8系统、并且未安装有卡巴斯基或诺顿杀毒软件的开发规则：

完成相关配置探测之后，Grasshopper会自动生成一个Windows客户端的恶意安装程序，方便现场特工进行安装运行。

Grasshopper支持模块化和多种操作需求

以下是Grasshopper 2.0版本的模块化架构描述：

Grasshopper执行体可以是一个或多个运行程序，而运行程序和组件之间又可以互相配合生效，最终可以实现在一个Payload上执行调用所有组件功能，达到持久驻留目的。

为了具备良好的扩展性，CIA尽量把Grasshopper生成的恶意运行程序和Payload脱离，方便特工使用其对特定目标执行特定Payload攻击。

根据曝光文档显示，针对不同Windows系统，Grasshopper生成的恶意运行程序可以以EXE、DLL、SYS或PIC格式文件有效执行Payload，实现恶意软件持久驻留。同时，Grasshopper还可生成内置恶意Payload或从其它位置启动的恶意安装程序。

曝光文档中，CIA还表明“这是一种加载至内存中的恶意程序执行方式“，当然，这也意味着传统的基于签名的杀毒软件很难检测查杀。事实上，为了实现网络攻击的隐匿性，CIA投入了大量精力进行恶意软件的免杀研究。

Grasshopper模仿借鉴了俄罗斯Carberp rootkit木马程序代码

曝光文档中包含了一份名为Stolen Goods的使用说明文件，Stolen Goods可能是Grasshopper用来对受害者系统进行持久驻留检测的一个工具组件。从Stolen Goods的名字和该文件表明，该工具是俄罗斯网络犯罪团伙常用的Carberp rootkit木马程序。Stolen Goods使用文档中是这样描述的：

采用Carberp相关的隐蔽通信、后门、漏洞等组件功能是为了适应恶意软件的持久化驻留需求，这些相关功能组件都经过了严格的分析检测，并且其中大部分代码都作了修改，只保留了很少一部分原始代码。

Grasshopper工具相关曝光文档下载：PAN，提取码：uehv

*参考来源：bleepingcomputer，wikileaks，freebuf小编clouds编译，转载请注明来自Freebuf.com