cherryblossom

cherryblossom
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
CIA Vault7最新泄露文档：樱花盛开 CYlar2017-06-16金币奖励+15共496352人围观，发现 6 个不明物体资讯
多份维基解密于2017年6月15日披露的文件显示，CIA早在2006年便开始了一项名为“樱花盛开”(Cherry Blossom)的项目。曝光的文档资料详实，图文并茂，长达数百页。

“樱花盛开”项目通过黑掉多达200种的无线设备（路由器或AP），进而对连接在路由器后的用户终端进行各种基于网络的攻击。根据维基解密曝光一份2012年的设备列表文档，其中常见品牌有思科、苹果、D-link、Linksys、3Com、Belkin等。暂时没有发现国产品牌。

据称，“樱花盛开工具”是CIA在美国非盈利研究机构斯坦福研究所（SRI International）的帮助下设计的，是CIA“樱桃炸弹”项目的一部分。而SRI目前尚未对此表态。

“樱花盛开”架构
根据曝光的文档，我们可以看到“樱花盛开”的架构如下：

CherryBlossom-architecture.png

红字所列为“樱花盛开”系统组件，主要部分描述如下：

FlyTrap：捕蝇草，被植入“樱花盛开”的无线设备，负责与 CherryTree C&C 服务器通信

CherryTree：樱树，C&C服务器

CherryWeb：CherryTree上运行的网页控制台

Missions：C&C服务器发送的任务，用于感染无线设备

“樱花盛开”攻击方式
“樱花盛开”工具本质上是一款基于固件的可远程植入框架，可以利用漏洞获取未经授权的访问权限并加载自定义的樱花固件，从而入侵路由器和无线接入点（AP）。

图2.png

然后可以使用植入式设备（Flytrap）来监控目标的互联网活动并将向目标传送软件漏洞利用内容。

通过在无线设备上植入定制的樱花固件让无线设备本身受到影响；一些设备允许通过无线链接升级固件，因此无需物理访问设备就能实现成功入侵。

在植入FlyTrap后，路由器会自动向CherryTree发回信息，之后CIA操作人员即可在Web控制台中进行操作并下达任务来对目标进行攻击。

监控网络流量以收集电子邮件地址，聊天用户名，MAC地址和VoIP号码；

将接入受攻击网络的用户重定向到恶意网站；

将恶意内容注入数据流，以欺诈手段传递恶意软件并影响加入受攻击网络的系统；

设置VPN通道，使用户连接到FlyTrap的WLAN / LAN，进行进一步的利用；

复制目标设备的完整网络流量

安装指南还提示，CherryTree C＆C服务器必须位于安全支持设备中，并安装在至少有4GBRAM、能运行Red Hat Fedora 9的Dell PowerEdge 1850供电虚拟服务器上。Fedora 9于2008年发布，由此可见，CIA这个“樱花盛开”项目历史多么“悠久”。

根据维基解密曝光的一份用户手册，操作人员可以简单地通过CherryWeb网页控制台来给被植入设备发送任务来达到目的。

QQ截图20170616050243.png

CherryWeb控制台截图：Mission

Mission种类繁多，包含但不限于以下几类：

1.监听目标流量

2.嗅探的流量匹配预定义触发器（如链接=cnn.com，用户名，电子邮件，MAC地址等）后，执行多种后续操作

3.重定向目标的Internet流量/连接到预设的代理服务器/钓鱼网站

4.目标上线告警

5.内网扫描

我是否中招？
由于曝光的文档中并没有发现国产品牌，加上CIA人力所限，绝大部分国内用户还是可以安心的。

对于使用国外品牌的用户，可以尝试通过 https://路由器ip/CherryWeb/ 链接来查看路由器是否已经遭到入侵。最安全的方法还是等待厂商固件更新后重刷厂商的更新固件。但是，“樱花盛开”会默认禁止普通的固件更新操作。

图3 .png

“樱花盛开”项目文档提及的无线设备品牌部分列表如下：

3Com

Accton

Aironet/Cisco

Allied Telesyn

Ambit

AMIT, Inc

Apple

Asustek Co

Belkin

Breezecom

Cameo

D-Link

Gemtek

Global Sun

Linksys

Motorola

Orinoco

Planet Tec

Senao

US Robotics

Z-Com

欲获取更多“樱花盛开”影响的无线设备详情，可以访问Wiki Leaks解密文档的原链接查看：https://wikileaks.org/vault7/document/WiFi_Devices/WiFi_Devices.pdf

维基解密披露的其他CIA工具
自3月以来，维基解密共披露了11批Vault 7系列工具，除了“樱花盛开”外，还有如下10个：

Pandemic——可被CIA利用，将Windows文件服务器转换为可以静默感染目标网络中感兴趣的其他计算机的隐蔽攻击机；1 June, 2017

Athena – CIA的间谍软件框架，旨在远程控制受感染的Windows PC，适用于从Windows XP到Windows 10的每个版本的Microsoft Windows操作系统； 19 May, 2017

AfterMidnight and Assassin – Microsoft Windows平台的两个CIA恶意软件框架，旨在监视和报告受感染的远程主机上的操作并执行恶意操作；12 May, 2017

Archimedes – 据称是CIA创建的一个中间人（MitM）攻击工具，目标瞄准局域网（LAN）内的计算机；5 May, 2017

Scribbles – 将“网络信标”嵌入机密文件，可以让间谍机构跟踪内部人员和举报人； 28 April, 2017

Weeping Angel – CIA的间谍工具，可以渗透智能电视，将电视转变为隐蔽式麦克风，用于监听；21 April, 2017

Hive –后端基础设施恶意软件，具有面向公众的HTTPS接口，可以渗透目标主机信息并传输给CIA，同时接收其运营商的命令在目标主机执行目标上的特定任务。

Grasshopper – 这个框架可让CIA轻松创建自定义恶意软件，入侵Microsoft Windows并绕过防病毒保护；7 April, 2017

Marble Framework– 揭露了CIA的秘密反监识框架的源代码。这个框架本质上是CIA使用的混淆器或封隔器，用于隐藏其恶意软件的实际来源；31 March, 2017

Dark Matter –揭露了CIA用于定位iPhone和Mac的利用工具；23 March, 2017

*本文投稿作者：CYlar，转载请注明来自FreeBuf.COM

CYlar
2 篇文章
等级： 3级
||
上一篇：Industroyer去年袭击乌克兰电网？这可能是震网之后最危险的工控恶意程序下一篇：美军网络战探寻：南加州沙漠里的坦克“克星”
发表评论已有 6 条评论

vbjknjlcvjo 2017-06-16回复 1楼
Apple有什么家用路由器？大神求告知

亮了(0)

Endt4sk (1级) 2017-06-16回复
@ vbjknjlcvjo 时间胶囊

亮了(3)

florence (2级) 2017-06-16回复 2楼
D-Link是台湾的啊，也算国产咯

亮了(2)

天志网络 2017-06-16回复
@ florence 不一样，台湾至少比大陆的产品要好，比如华硕就是台湾的，是世界前三的，说是国产，很大差别的

亮了(0)

埃布尔森 (1级) 2017-06-16回复 3楼
这是什么时候泄露的文件呀，看起来这个工具已经应用好久了。话说什么时候出APP版本的FreeBuf呀，手机上可以看到一些最新的内容还是挺不错的。

亮了(1)

红烧茄子别加糖 (1级) 2017-06-18回复
@ 埃布尔森目前看微信版的还行

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我

CYlar

这家伙太懒，还未填写个人描述！

2
文章数
29
评论数
最近文章
CIA Vault7最新泄露文档：樱花盛开
2017.06.16

CIA Vault7泄露文档第五波：多平台入侵植入和管理控制工具HIVE
2017.04.19

浏览更多
相关阅读
黑莓发布“全球最安全Android手机”DTEK50欧洲黑客联盟（ChaosComputer Club）：只需照片即可获取指纹世界最大反恐数据库在暗网出售，卖家称数据真实有效叙利亚电子军（SEA）攻击五大主机托管公司挡人财路！俄国大蜘蛛杀毒软件Dr.Web遭黑客燃烧弹物理攻击
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

cherryblossom

文章评论