Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보지속적인 원격 제어를 위한 CIA의 Angelfire 프로젝트
작성일 2017-09-04 조회 1030

 

개요

WikiLeaks에서 Angelfire라고 불리는 새로운 공격 도구에 대해 공개하였다. 해당 도구는 Windows 운영체제를 대상으로 하며 대상자의 부팅섹터를 수정하여 영구적인 백도어를 삽입한다.

 

확인내역

유출된 문서에 따르면 AngelFire는 아래의 5가지의 구성요소로 이루어져 있다. 이들 모두를 정상적으로 설치하기 위해선 관리자의 권한이 필요하다. 32비트 버전은 Windows XP 및 Windows 7에서 작동하며, 64 비트 버전은 Server 2008 R2, Windows 7에서 작동한다.

 

1. Solartime - 가장 핵심이 되는 요소로서 시스템이 부팅 될 때마다 Wolfcreek(커널 코드)을 로드하고 실행하도록 파티션 부트 섹터를 수정하는 역할을 한다.

2. Wolfcreek - 다른 드라이버 및 user-mode 애플리케이션을 로드하는 self-loading 드라이버이다(Solartime이 실행하는 커널 코드).

3. Keystone -MagicWand로 알려진 Keystone은 WolfCreek의 일부분이다. 포렌식 증거를 남기지 않기 위해 DLL 인젝션 기술을 사용하여 애플리케이션을 시스템 메모리에서 바로 실행을 한다. 하지만 운영체제와 다른 파티션이나 다른 경로에 설치될 경우 탐지가 될 수 있다.

4. BadMFS - WolfCreek에 의해 활성화된 드라이버 및 임플란트를 저장하는 기능을 한다. 대상 컴퓨터에서 파티션되지 않은 공간에 설치를 시도하고 탐지등을 피하기 위해 저장되는 모든 파일이 암호화 및 난독화된다.

5. Windows Transitory File system  - AngelFire를 설치하는 새로운 방법, CIA 스파이가 별도의 구성 요소를 설치하는 대신 AngelFire에 파일을 추가하거나 제거하는 등의 특정 작업을 위한 임시 파일을 만든다.

 

참고

https://thehackernews.com/2017/08/cia-boot-sector-malware.html


http://www.ibtimes.co.uk/what-wikileaks-angelfire-dump-new-leak-reveals-cia-malware-used-spy-windows-os-1637511?utm_content=buffer358c4&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer


http://securityaffairs.co/wordpress/62539/intelligence/cia-angelfire-implant.html

 

 

첨부파일 첨부파일이 없습니다.
태그 Angelfire  CIA  wikiLeaks  Windows