事件概述

美國時(shí)間3月7日，維基解密（WikiLeaks）網(wǎng)站公布了大量據(jù)稱是美國中央情報(bào)局（CIA）的內(nèi)部文件，其中包括了CIA內(nèi)部的組織資料，對電腦、手機(jī)等設(shè)備進(jìn)行攻擊的方法技術(shù)，以及進(jìn)行網(wǎng)絡(luò)攻擊時(shí)使用的代碼和真實(shí)樣本。利用這些技術(shù)，不僅可以在電腦、手機(jī)平臺上的Windows、iOS、Android等各類操作系統(tǒng)下發(fā)起入侵攻擊，還可以操作智能電視等終端設(shè)備，甚至可以遙控智能汽車發(fā)起暗殺行動。

維基解密將這些數(shù)據(jù)命名為“7號軍火庫”（Vault7），一共有8761份文件，包括7818份網(wǎng)頁以及943個(gè)附件。在公布時(shí)，維基解密對文件內(nèi)容進(jìn)行了一些刪節(jié)處理，包括個(gè)人真實(shí)信息（姓名、郵件地址等），數(shù)以萬計(jì)的IP地址，以及真實(shí)的二進(jìn)制文件。維基解密表示在對文件進(jìn)行進(jìn)一步的分析之后，會逐步公開這些被刪節(jié)的信息。同時(shí)，維基解密稱此次公布的數(shù)據(jù)只是一系列CIA機(jī)密材料的第一部分，被稱為“元年”（YearZero），后續(xù)還會有更多資料陸續(xù)公布。

泄漏內(nèi)容

此次公布的數(shù)據(jù)都是從CIA的內(nèi)網(wǎng)保存下來的，時(shí)間跨度為2013到2016年。這批文檔的組織方式類似于知識庫，使用Atlassian公司的團(tuán)隊(duì)工作共享系統(tǒng)Confluence創(chuàng)建。數(shù)據(jù)之間有明顯的組織索引關(guān)系，可以使用模板對多個(gè)資料進(jìn)行管理。很多資料有歷史改動的存檔，7818份資料中除去存檔共有1136個(gè)最新數(shù)據(jù)。943個(gè)附件基本上都可以在資料中找到對應(yīng)的鏈接，屬于其內(nèi)容的一部分。具體而言，這些資料可以分為如下幾類：

1.CIA部門資料，包括部門的介紹，部門相關(guān)的黑客項(xiàng)目，以及部門內(nèi)部的信息分享。

2.黑客項(xiàng)目資料，包括一些不屬于特定部門的黑客工具、輔助項(xiàng)目等，其中有項(xiàng)目的介紹，使用說明以及一些技術(shù)細(xì)節(jié)。

3.操作系統(tǒng)資料，包括iOS、MacOS、Android、Linux、虛擬機(jī)等系統(tǒng)的信息和知識。

4.工具和開發(fā)資料，包括CIA內(nèi)部用到的Git等開發(fā)工具。

5.員工資料，包括員工的個(gè)人信息，以及員工自己創(chuàng)建的一些內(nèi)容。

6.知識庫，這里面分門別類地存放了大量技術(shù)知識以及攻擊手段。其中比較重要的是關(guān)于Windows操作系統(tǒng)的技術(shù)細(xì)節(jié)和各種漏洞，以及對于常見的個(gè)人安全產(chǎn)品（PersonalSecurityProducts）的繞過手段，包括諾頓、卡巴斯基、賽門鐵克、微軟殺毒以及瑞星等安全產(chǎn)品。

總的來看，這些數(shù)據(jù)雖然有組織關(guān)系，但是作為工作平臺而言，并沒有形成嚴(yán)格的規(guī)范，很多文件都是隨意放置的，甚至還包括asdf這樣的測試文件，更像是一個(gè)內(nèi)部的知識共享平臺。

典型兵器

在這次公布的數(shù)據(jù)中，一些比較值得注意的兵器項(xiàng)目如下：

WeepingAngel

WeepingAngel(哭泣的天使)是一款由CIAEmbeddedDevicesBranch(嵌入式設(shè)備組)和英國MI5共同開發(fā)的針對三星智能電視的竊聽軟件。三星智能電視使用的是Android操作系統(tǒng)，該竊聽軟件感染智能電視后，會劫持電視的關(guān)機(jī)操作，保持程序的后臺運(yùn)行，讓用戶誤以為已經(jīng)關(guān)機(jī)了。它會啟動麥克風(fēng)，開啟錄音功能，然后將錄音內(nèi)容回傳到CIA的后臺服務(wù)器中?？紤]到三星智能電視使用的是Android操作系統(tǒng)，推測該惡意軟件具備感染Android手機(jī)的能力。韓國和美國是三星智能電視的最主要消費(fèi)國家。

HIVE

HIVE(蜂巢)是CIA開發(fā)的遠(yuǎn)程控制后臺項(xiàng)目，該項(xiàng)目負(fù)責(zé)多個(gè)平臺的后臺控制工作。從泄漏的文件來看，HIVE系統(tǒng)在2010年10月26日發(fā)布了第一版，直到2014年1月13日一共更新到2.6.2版本。作為間諜軟件最重要的部分，Command&ControlServer就由該項(xiàng)目負(fù)責(zé)。整體上，植入目標(biāo)機(jī)器中的間諜軟件，通過HTTPS協(xié)議同后臺C&C服務(wù)器進(jìn)行交互，整個(gè)通信過程使用了，數(shù)據(jù)加密，身份鑒權(quán)等諸多信息安全高級技術(shù)。同時(shí)在異常處理和服務(wù)器隱藏等關(guān)鍵模塊的設(shè)計(jì)上，也體現(xiàn)出國家隊(duì)的技術(shù)水平。

從架構(gòu)設(shè)計(jì)上分析，HIVE分為兩層，第一層直接與間諜軟件連接，部署在商用的VPS(VritualPrivateServer)上。第一層將所有流量通過VPN加密轉(zhuǎn)發(fā)到第二層。轉(zhuǎn)發(fā)策略是如果流量經(jīng)過身份鑒權(quán)，確認(rèn)是目標(biāo)機(jī)器，就會向代號為”Honeycomb”的服務(wù)器集群轉(zhuǎn)發(fā)，這里會對收集到的信息進(jìn)行存貯和分析，如果鑒權(quán)失敗，就會向一個(gè)無害的網(wǎng)站轉(zhuǎn)發(fā)，達(dá)到重要服務(wù)器不被暴露的目的。

UMBRAGE

UMBRAGE(朦朧的外表)取自英語古語，有朦朧虛無的意思。該項(xiàng)目主要目的是隱藏攻擊手段，對抗調(diào)查取證。現(xiàn)實(shí)世界中，每一個(gè)案件，背后無論多么撲溯迷離，在現(xiàn)場一定會留下線索，如果是慣犯，兇手會有一定的作案模式。在網(wǎng)絡(luò)世界中也是一樣的，每一次發(fā)動的網(wǎng)絡(luò)攻擊，都會和之前的攻擊有著千絲萬縷的聯(lián)系，都能提取出一定的攻擊模式。

CIA的RemoteDevicesBranch(遠(yuǎn)程設(shè)備組)，收集維護(hù)了一個(gè)網(wǎng)絡(luò)攻擊模式庫，該模式庫總結(jié)了之前使用過的攻擊方式和技術(shù)，例如包含HackingTeam泄漏出的代碼和俄羅斯使用的技術(shù)。擁有了龐大數(shù)量的模式庫之后，對于新發(fā)起的網(wǎng)絡(luò)攻擊，可以采取模仿，混淆等多種戰(zhàn)術(shù)，達(dá)到迷惑敵人，隱藏自己的目的。UMBRAGE項(xiàng)目包含了惡意軟件大部分功能模塊，例如：鍵盤記錄器，密碼收集器，攝像頭控制，數(shù)據(jù)銷毀，提權(quán)，反殺毒軟件等等。

FineDining和Improvise(JQJIMPROVISE)

"FineDining"（美食大餐）提供了標(biāo)準(zhǔn)化的調(diào)查問卷，CIA的OSB(OperationalSupportBranch)部門會使用該調(diào)查問卷，用于將辦案人員的請求轉(zhuǎn)換為針對特定操作的黑客攻擊的技術(shù)要求。問卷可以幫助OSB在現(xiàn)有的攻擊工具集中選擇合適的攻擊工具，并將選好的攻擊工具清單傳遞給CIA的負(fù)責(zé)配置攻擊工具的運(yùn)營人員。OSB在這里充當(dāng)了CIA運(yùn)營運(yùn)營人員和相關(guān)技術(shù)支持人員的接口人的角色。

調(diào)查問卷會讓填寫者填寫諸如目標(biāo)計(jì)算機(jī)使用的操作系統(tǒng)、網(wǎng)絡(luò)連接情況、安裝的殺毒軟件等信息，隨后會由"Improvise"（即興演出）處理。"Improvise"是一個(gè)用于配置、后處理、payload設(shè)置和executionvector選擇的工具集，可支持所有主流操作系統(tǒng)。"Improvise"的配置工具如Margarita允許NOC（NetworkOperationCenter）根據(jù)"FineDining"問卷的要求來定制工具。

"FineDnining"用于收集攻擊需求，而"Improvise"用于將攻擊需求轉(zhuǎn)化為攻擊工具，這兩個(gè)工具相互配合使用，可以準(zhǔn)備、快速的對任何特定目標(biāo)實(shí)施攻擊。可見，CIA已經(jīng)實(shí)現(xiàn)了對指定目標(biāo)的攻擊實(shí)現(xiàn)了高度的定制和高效的配置。

后續(xù)

此次公開的數(shù)據(jù)龐大，并且還有部分?jǐn)?shù)據(jù)未公布。騰訊電腦管家反病毒實(shí)驗(yàn)室會持續(xù)關(guān)注該事件，跟進(jìn)最新進(jìn)展；同時(shí)繼續(xù)深入分析現(xiàn)有內(nèi)容，挖掘其中涉及的安全漏洞、入侵手法和攻擊工具，第一時(shí)間披露更加具體的細(xì)節(jié)信息。

同時(shí)也在這里提醒廣大用戶，此次公布的數(shù)據(jù)中包含大量漏洞信息和攻擊工具，可能被不懷好意的人利用，成為他們手中新的武器。希望廣大用戶最近提高警惕，留心關(guān)注最新的安全新聞，注意及時(shí)更新電腦、手機(jī)上的安全防范措施，避免遭受此次事件的負(fù)面影響。

相關(guān)新聞

2017-03-15

2017-05-16

2017-05-31

2017-06-06

2017-08-10

隨著互聯(lián)網(wǎng)的發(fā)展，越來越多的業(yè)務(wù)不僅僅由單一節(jié)點(diǎn)（或是單一語言）就可承載，而是趨向多語言分布式協(xié)同開發(fā)（如接入層由Node.js完成，邏輯（數(shù)據(jù)）層由C++/GO/Python實(shí)現(xiàn)）并由此組成大型異構(gòu)系統(tǒng)。

我們（現(xiàn)SuperTeam）基于 Tars 體系研發(fā)出 Tars.js 以便用戶在不改變異構(gòu)系統(tǒng)整體架構(gòu)的情況下快速搭建（遷移）Node.js服務(wù)，并可非常方便的將原來的單一服務(wù)拆分為多個(gè)（邏輯）子服務(wù)。

Tars.js在騰訊內(nèi)部經(jīng)過5年多的沉淀與迭代（Node.js@0.10版本即提供支持），廣泛運(yùn)用于騰訊QQ瀏覽器、騰訊桌面瀏覽器、騰訊地圖、應(yīng)用寶、騰訊手機(jī)管家、互聯(lián)網(wǎng)+、騰訊醫(yī)療、騰訊覓影、保險(xiǎn)、彩票等幾十個(gè)重要業(yè)務(wù)中，日承擔(dān)了上百億流量。

Tars.js包含下述特性：

l 100%由JavaScript編寫，不包含任何C/C++代碼。

l 多進(jìn)程負(fù)載均衡與管理。

l 代碼異常監(jiān)控與重啟。

l 服務(wù)日志搜集與處理。

l HTTP(s)服務(wù)監(jiān)控與用量自動上報(bào)，并支持用戶自定義維度上報(bào)（PP監(jiān)控）。

l 符合 Tars(IDL)規(guī)范的編解碼模塊。

l 支持 TarsRPC調(diào)用與染色（模調(diào)自動上報(bào)）。

l 支持在線發(fā)送管理命令、拉取服務(wù)配置。

l 獨(dú)創(chuàng) LongStackTrace?異常跟蹤機(jī)制。

l …… 更多特性可訪問 @tars/node-agent 了解

設(shè)計(jì)理念：

?A．高自由度：

l 兼容所有（≥0.10）官方Node.js版本。

l 對 Node.js源碼無侵入無修改。

l 底層對上層完全透明，支持各種上層框架，無需變更。

也就是說：

您可以使用任何您熟悉的框架（如 Express.js/Koa.js等，包括但不僅限于Web框架），也無需對框架進(jìn)行任何修改（無需引入任何中間件）。即可通過Tars.js運(yùn)行，享受平臺提供的各種監(jiān)控與管理特性。

與此同時(shí)，Tars.js所提供的模塊，也可以根據(jù)您的需求引入（如未使用到則可不引入）。

?B．高性能：

Tars.js為高性能與大并發(fā)量而設(shè)計(jì)，使用了大量的前端（V8）優(yōu)化技巧（如FlattenString/FastProperties等）盡量降低所提供的能力對于業(yè)務(wù)性能的影響。

經(jīng)過我們測試（WebServer），默認(rèn)的旁路上報(bào)與監(jiān)控對服務(wù)性能的影響≤5%，常用模塊（RPC、日志等）性能位于業(yè)界前列。

?C．差異化：

Tars.js根據(jù)不同的業(yè)務(wù)類型提供差異化運(yùn)營方案：

l 高流量業(yè)務(wù)：盡力降低框架對業(yè)務(wù)性能的影響。

l 低流量業(yè)務(wù)：充分利用硬件資源提升開發(fā)體驗(yàn)。

HelloWorld

我們來看Node.js官網(wǎng)的 例子 (如下)，無需任何變更，直接通過Tars.js進(jìn)行部署，它會擁有哪些特性？

? 進(jìn)程管理

默認(rèn)基于 cluster 模塊進(jìn)行負(fù)載均衡，進(jìn)程數(shù)可以配置為1~max（CPU核心數(shù)）、還可配置為auto（物理核心數(shù)相同）以減小內(nèi)存壓力提升“性價(jià)比”。

與此同時(shí)，進(jìn)程僵死檢測也會同時(shí)啟動，實(shí)時(shí)監(jiān)控業(yè)務(wù)進(jìn)程。

?案例說明

某服務(wù)在論壇UBB代碼轉(zhuǎn)HTML時(shí)，使用未優(yōu)化的正則表達(dá)式進(jìn)行XSS攻擊過濾，但由于用戶發(fā)帖時(shí)圖片采用BASE64編碼，導(dǎo)致正則表達(dá)式計(jì)算時(shí)間過長，CPU使用率飆漲到100%：

開啟僵死檢測后，Tars.js監(jiān)控到業(yè)務(wù)進(jìn)程僵死時(shí)，自動重啟業(yè)務(wù)進(jìn)程，從而縮短了業(yè)務(wù)無響應(yīng)時(shí)間：

Tars.js雖然無法解決業(yè)務(wù)代碼的問題（BUG），但會盡最大努力保證業(yè)務(wù)的可用性。

? 服務(wù)監(jiān)控

以服務(wù)名、接口名（URL-PATH節(jié)）為緯度，統(tǒng)計(jì)總流量、平均耗時(shí)、超時(shí)率、異常率：

其中返回碼大于400（可配置）作為異常進(jìn)行上報(bào)。

?監(jiān)控說明

Web服務(wù)一般由靜態(tài)與動態(tài)資源（接口）組成，由于靜態(tài)資源（本地文件）的請求耗時(shí)遠(yuǎn)低于動態(tài)資源（業(yè)務(wù)邏輯），請求量往往又很高，拉低了服務(wù)整體耗時(shí)。

基于此，Tars.js將請求URL中的PATH節(jié)作為接口，每個(gè)接口均可查看其總流量、平均耗時(shí)、異常率，便于用戶全面了解服務(wù)性能。

? 特性監(jiān)控

無論您服務(wù)的類型是什么，總是會上報(bào)下述特性，便于回溯問題與評估性能：

l memUsage：內(nèi)存用量，將會上報(bào)rss、heapUsed、heapTotal這三個(gè)用量（單位為字節(jié)）

l cpuUsage：CPU用量，將會上報(bào)CPU使用率，數(shù)據(jù)匯總為邏輯單核（單位為百分比）

l eventloopLag：（任務(wù)）隊(duì)列延遲，每隔2秒采樣（單位為毫秒）

l libuv：I/O用量，將會上報(bào)activeHandles、activeRequests這兩個(gè)用量

各策略以平均值（Avg）、最大值（Max）、最小值（Min）分節(jié)點(diǎn)進(jìn)行統(tǒng)計(jì)：

? 日志輸出

所有通過Console模塊（如console.log）輸出的日志，都會輸出到服務(wù)本地文件內(nèi)。并附加相關(guān)信息（如下），方便定位問題。

日志格式：日期時(shí)間|進(jìn)程PID|日志級別|輸出文件名與行號|日志內(nèi)容

2018-07-0112:00:00|332|DEBUG|app.js:13|Serverrunningathttp://127.0.0.1:3000/

? LongStackTrace?

由于Node.js采用異步機(jī)制，在發(fā)生異常時(shí)堆棧不完整，導(dǎo)致定位問題復(fù)雜。

鑒于此，我們提供了長鏈路跟蹤技術(shù)在產(chǎn)生異常時(shí)自動附加前序調(diào)用堆棧，同時(shí)還支持在異常堆棧中過濾出用戶代碼部分。

由于開啟此特性時(shí)會造成性能損耗，故默認(rèn)關(guān)閉，管理平臺等性能不敏感業(yè)務(wù)可直接通過配置開啟。

?案例說明

執(zhí)行上述代碼會拋出下述異常：

ReferenceError:ThisMayThrowErrorisnotdefined

atTimeout.setTimeoutas_onTimeout

at_disibledevent="http://superzheng.com/">@SuperZheng 創(chuàng)立于2017年。團(tuán)隊(duì)成員均為全棧架構(gòu)師（Super寓意Superman——無所不能），熟知Web(3D)、終端、后端與大數(shù)據(jù)計(jì)算，并由傳統(tǒng)前端向互聯(lián)網(wǎng)從業(yè)者方向發(fā)展。歡迎前端牛人加入，共創(chuàng)前端美好未來。