事件概述

美國(guó)時(shí)間3月7日，維基解密（WikiLeaks）網(wǎng)站公布了大量據(jù)稱是美國(guó)中央情報(bào)局（CIA）的內(nèi)部文件，其中包括了CIA內(nèi)部的組織資料，對(duì)電腦、手機(jī)等設(shè)備進(jìn)行攻擊的方法技術(shù)，以及進(jìn)行網(wǎng)絡(luò)攻擊時(shí)使用的代碼和真實(shí)樣本。利用這些技術(shù)，不僅可以在電腦、手機(jī)平臺(tái)上的Windows、iOS、Android等各類(lèi)操作系統(tǒng)下發(fā)起入侵攻擊，還可以操作智能電視等終端設(shè)備，甚至可以遙控智能汽車(chē)發(fā)起暗殺行動(dòng)。

維基解密將這些數(shù)據(jù)命名為“7號(hào)軍火庫(kù)”（Vault7），一共有8761份文件，包括7818份網(wǎng)頁(yè)以及943個(gè)附件。在公布時(shí)，維基解密對(duì)文件內(nèi)容進(jìn)行了一些刪節(jié)處理，包括個(gè)人真實(shí)信息（姓名、郵件地址等），數(shù)以萬(wàn)計(jì)的IP地址，以及真實(shí)的二進(jìn)制文件。維基解密表示在對(duì)文件進(jìn)行進(jìn)一步的分析之后，會(huì)逐步公開(kāi)這些被刪節(jié)的信息。同時(shí)，維基解密稱此次公布的數(shù)據(jù)只是一系列CIA機(jī)密材料的第一部分，被稱為“元年”（YearZero），后續(xù)還會(huì)有更多資料陸續(xù)公布。

泄漏內(nèi)容

此次公布的數(shù)據(jù)都是從CIA的內(nèi)網(wǎng)保存下來(lái)的，時(shí)間跨度為2013到2016年。這批文檔的組織方式類(lèi)似于知識(shí)庫(kù)，使用Atlassian公司的團(tuán)隊(duì)工作共享系統(tǒng)Confluence創(chuàng)建。數(shù)據(jù)之間有明顯的組織索引關(guān)系，可以使用模板對(duì)多個(gè)資料進(jìn)行管理。很多資料有歷史改動(dòng)的存檔，7818份資料中除去存檔共有1136個(gè)最新數(shù)據(jù)。943個(gè)附件基本上都可以在資料中找到對(duì)應(yīng)的鏈接，屬于其內(nèi)容的一部分。具體而言，這些資料可以分為如下幾類(lèi)：

1.CIA部門(mén)資料，包括部門(mén)的介紹，部門(mén)相關(guān)的黑客項(xiàng)目，以及部門(mén)內(nèi)部的信息分享。

2.黑客項(xiàng)目資料，包括一些不屬于特定部門(mén)的黑客工具、輔助項(xiàng)目等，其中有項(xiàng)目的介紹，使用說(shuō)明以及一些技術(shù)細(xì)節(jié)。

3.操作系統(tǒng)資料，包括iOS、MacOS、Android、Linux、虛擬機(jī)等系統(tǒng)的信息和知識(shí)。

4.工具和開(kāi)發(fā)資料，包括CIA內(nèi)部用到的Git等開(kāi)發(fā)工具。

5.員工資料，包括員工的個(gè)人信息，以及員工自己創(chuàng)建的一些內(nèi)容。

6.知識(shí)庫(kù)，這里面分門(mén)別類(lèi)地存放了大量技術(shù)知識(shí)以及攻擊手段。其中比較重要的是關(guān)于Windows操作系統(tǒng)的技術(shù)細(xì)節(jié)和各種漏洞，以及對(duì)于常見(jiàn)的個(gè)人安全產(chǎn)品（PersonalSecurityProducts）的繞過(guò)手段，包括諾頓、卡巴斯基、賽門(mén)鐵克、微軟殺毒以及瑞星等安全產(chǎn)品。

總的來(lái)看，這些數(shù)據(jù)雖然有組織關(guān)系，但是作為工作平臺(tái)而言，并沒(méi)有形成嚴(yán)格的規(guī)范，很多文件都是隨意放置的，甚至還包括asdf這樣的測(cè)試文件，更像是一個(gè)內(nèi)部的知識(shí)共享平臺(tái)。

典型兵器

在這次公布的數(shù)據(jù)中，一些比較值得注意的兵器項(xiàng)目如下：

WeepingAngel

WeepingAngel(哭泣的天使)是一款由CIAEmbeddedDevicesBranch(嵌入式設(shè)備組)和英國(guó)MI5共同開(kāi)發(fā)的針對(duì)三星智能電視的竊聽(tīng)軟件。三星智能電視使用的是Android操作系統(tǒng)，該竊聽(tīng)軟件感染智能電視后，會(huì)劫持電視的關(guān)機(jī)操作，保持程序的后臺(tái)運(yùn)行，讓用戶誤以為已經(jīng)關(guān)機(jī)了。它會(huì)啟動(dòng)麥克風(fēng)，開(kāi)啟錄音功能，然后將錄音內(nèi)容回傳到CIA的后臺(tái)服務(wù)器中?？紤]到三星智能電視使用的是Android操作系統(tǒng)，推測(cè)該惡意軟件具備感染Android手機(jī)的能力。韓國(guó)和美國(guó)是三星智能電視的最主要消費(fèi)國(guó)家。

HIVE

HIVE(蜂巢)是CIA開(kāi)發(fā)的遠(yuǎn)程控制后臺(tái)項(xiàng)目，該項(xiàng)目負(fù)責(zé)多個(gè)平臺(tái)的后臺(tái)控制工作。從泄漏的文件來(lái)看，HIVE系統(tǒng)在2010年10月26日發(fā)布了第一版，直到2014年1月13日一共更新到2.6.2版本。作為間諜軟件最重要的部分，Command&ControlServer就由該項(xiàng)目負(fù)責(zé)。整體上，植入目標(biāo)機(jī)器中的間諜軟件，通過(guò)HTTPS協(xié)議同后臺(tái)C&C服務(wù)器進(jìn)行交互，整個(gè)通信過(guò)程使用了，數(shù)據(jù)加密，身份鑒權(quán)等諸多信息安全高級(jí)技術(shù)。同時(shí)在異常處理和服務(wù)器隱藏等關(guān)鍵模塊的設(shè)計(jì)上，也體現(xiàn)出國(guó)家隊(duì)的技術(shù)水平。

從架構(gòu)設(shè)計(jì)上分析，HIVE分為兩層，第一層直接與間諜軟件連接，部署在商用的VPS(VritualPrivateServer)上。第一層將所有流量通過(guò)VPN加密轉(zhuǎn)發(fā)到第二層。轉(zhuǎn)發(fā)策略是如果流量經(jīng)過(guò)身份鑒權(quán)，確認(rèn)是目標(biāo)機(jī)器，就會(huì)向代號(hào)為”Honeycomb”的服務(wù)器集群轉(zhuǎn)發(fā)，這里會(huì)對(duì)收集到的信息進(jìn)行存貯和分析，如果鑒權(quán)失敗，就會(huì)向一個(gè)無(wú)害的網(wǎng)站轉(zhuǎn)發(fā)，達(dá)到重要服務(wù)器不被暴露的目的。

UMBRAGE

UMBRAGE(朦朧的外表)取自英語(yǔ)古語(yǔ)，有朦朧虛無(wú)的意思。該項(xiàng)目主要目的是隱藏攻擊手段，對(duì)抗調(diào)查取證?，F(xiàn)實(shí)世界中，每一個(gè)案件，背后無(wú)論多么撲溯迷離，在現(xiàn)場(chǎng)一定會(huì)留下線索，如果是慣犯，兇手會(huì)有一定的作案模式。在網(wǎng)絡(luò)世界中也是一樣的，每一次發(fā)動(dòng)的網(wǎng)絡(luò)攻擊，都會(huì)和之前的攻擊有著千絲萬(wàn)縷的聯(lián)系，都能提取出一定的攻擊模式。

CIA的RemoteDevicesBranch(遠(yuǎn)程設(shè)備組)，收集維護(hù)了一個(gè)網(wǎng)絡(luò)攻擊模式庫(kù)，該模式庫(kù)總結(jié)了之前使用過(guò)的攻擊方式和技術(shù)，例如包含HackingTeam泄漏出的代碼和俄羅斯使用的技術(shù)。擁有了龐大數(shù)量的模式庫(kù)之后，對(duì)于新發(fā)起的網(wǎng)絡(luò)攻擊，可以采取模仿，混淆等多種戰(zhàn)術(shù)，達(dá)到迷惑敵人，隱藏自己的目的。UMBRAGE項(xiàng)目包含了惡意軟件大部分功能模塊，例如：鍵盤(pán)記錄器，密碼收集器，攝像頭控制，數(shù)據(jù)銷(xiāo)毀，提權(quán)，反殺毒軟件等等。

FineDining和Improvise(JQJIMPROVISE)

"FineDining"（美食大餐）提供了標(biāo)準(zhǔn)化的調(diào)查問(wèn)卷，CIA的OSB(OperationalSupportBranch)部門(mén)會(huì)使用該調(diào)查問(wèn)卷，用于將辦案人員的請(qǐng)求轉(zhuǎn)換為針對(duì)特定操作的黑客攻擊的技術(shù)要求。問(wèn)卷可以幫助OSB在現(xiàn)有的攻擊工具集中選擇合適的攻擊工具，并將選好的攻擊工具清單傳遞給CIA的負(fù)責(zé)配置攻擊工具的運(yùn)營(yíng)人員。OSB在這里充當(dāng)了CIA運(yùn)營(yíng)運(yùn)營(yíng)人員和相關(guān)技術(shù)支持人員的接口人的角色。

調(diào)查問(wèn)卷會(huì)讓填寫(xiě)者填寫(xiě)諸如目標(biāo)計(jì)算機(jī)使用的操作系統(tǒng)、網(wǎng)絡(luò)連接情況、安裝的殺毒軟件等信息，隨后會(huì)由"Improvise"（即興演出）處理。"Improvise"是一個(gè)用于配置、后處理、payload設(shè)置和executionvector選擇的工具集，可支持所有主流操作系統(tǒng)。"Improvise"的配置工具如Margarita允許NOC（NetworkOperationCenter）根據(jù)"FineDining"問(wèn)卷的要求來(lái)定制工具。

"FineDnining"用于收集攻擊需求，而"Improvise"用于將攻擊需求轉(zhuǎn)化為攻擊工具，這兩個(gè)工具相互配合使用，可以準(zhǔn)備、快速的對(duì)任何特定目標(biāo)實(shí)施攻擊?？梢?jiàn)，CIA已經(jīng)實(shí)現(xiàn)了對(duì)指定目標(biāo)的攻擊實(shí)現(xiàn)了高度的定制和高效的配置。

后續(xù)

此次公開(kāi)的數(shù)據(jù)龐大，并且還有部分?jǐn)?shù)據(jù)未公布。騰訊電腦管家反病毒實(shí)驗(yàn)室會(huì)持續(xù)關(guān)注該事件，跟進(jìn)最新進(jìn)展；同時(shí)繼續(xù)深入分析現(xiàn)有內(nèi)容，挖掘其中涉及的安全漏洞、入侵手法和攻擊工具，第一時(shí)間披露更加具體的細(xì)節(jié)信息。

同時(shí)也在這里提醒廣大用戶，此次公布的數(shù)據(jù)中包含大量漏洞信息和攻擊工具，可能被不懷好意的人利用，成為他們手中新的武器。希望廣大用戶最近提高警惕，留心關(guān)注最新的安全新聞，注意及時(shí)更新電腦、手機(jī)上的安全防范措施，避免遭受此次事件的負(fù)面影響。

相關(guān)新聞

2017-03-15

2017-05-16

2017-05-31

2017-06-06

2017-08-10

　　如果有人提出移動(dòng)互聯(lián)網(wǎng)是當(dāng)前科技產(chǎn)業(yè)發(fā)展的主流趨勢(shì)，一定沒(méi)有人反對(duì)，與之相應(yīng)的社區(qū)網(wǎng)站也亟待移動(dòng)互聯(lián)網(wǎng)化。如今阿里云企業(yè)級(jí)社區(qū)云套餐，滿足了用戶隨時(shí)隨地互聯(lián)互通的需求，支持下載面向手機(jī)用戶的phpwind手機(jī)版本功能，協(xié)助站長(zhǎng)實(shí)現(xiàn)對(duì)站點(diǎn)的實(shí)時(shí)管理。

　　企業(yè)級(jí)社區(qū)云套餐，搭載免費(fèi)開(kāi)源軟件程序phpwind8.5，該版本支持免費(fèi)的手機(jī)版本，用戶只需要登錄相關(guān)網(wǎng)站下載手機(jī)版本應(yīng)用程序，就可以實(shí)現(xiàn)隨時(shí)隨地瀏覽網(wǎng)站、分享生活點(diǎn)滴的愿望，幫助站長(zhǎng)低成本24小時(shí)服務(wù)用戶，從而實(shí)現(xiàn)網(wǎng)站價(jià)值的最大化。

　　據(jù)悉，能夠在企業(yè)級(jí)社區(qū)云套餐服務(wù)中穩(wěn)定運(yùn)行的手機(jī)版，從高效、便捷、實(shí)用的角度出發(fā)，在客戶端設(shè)計(jì)方面體現(xiàn)出簡(jiǎn)約而不簡(jiǎn)單的特性。首先，體現(xiàn)在首頁(yè)的靈活設(shè)置方面。用戶在使用過(guò)程中，首頁(yè)內(nèi)容可以根據(jù)后臺(tái)設(shè)定規(guī)則自動(dòng)提取，也可以根據(jù)運(yùn)營(yíng)需要，由站長(zhǎng)手動(dòng)推送適合手機(jī)瀏覽的內(nèi)容，給用戶很大的自由選擇空間。

　　其次，在閱讀頁(yè)設(shè)計(jì)方面進(jìn)行優(yōu)化，可以達(dá)到節(jié)省流量的目的。具體體現(xiàn)在帖子的內(nèi)容長(zhǎng)度可以根據(jù)站長(zhǎng)的設(shè)定進(jìn)行顯示，對(duì)于內(nèi)容過(guò)長(zhǎng)的頁(yè)面程序會(huì)自動(dòng)進(jìn)行翻頁(yè)。而對(duì)于下載流量較大的圖片，手機(jī)閱讀帖子中所包含的圖片會(huì)自動(dòng)生成縮略圖，圖片的瀏覽更快捷，流量方面也更節(jié)省，可謂一舉多得。

　　在后臺(tái)控制方面，手機(jī)版具有后臺(tái)功能強(qiáng)大、操作方便的特點(diǎn)。站長(zhǎng)可根據(jù)運(yùn)營(yíng)需要，在后臺(tái)控制是否使用某些功能，如登陸、注冊(cè)、內(nèi)容的推送等，還可以設(shè)定頁(yè)面顯示長(zhǎng)度、縮略圖大小等，以確保用戶的訪問(wèn)速度和良好的使用感受。

　　手機(jī)版系統(tǒng)可以實(shí)現(xiàn)對(duì)搜索權(quán)限的分級(jí)，搜索權(quán)限與用戶組掛鉤，方便運(yùn)營(yíng)管理的同時(shí)，也能減輕服務(wù)器壓力，更好的維護(hù)站長(zhǎng)利益。

　　此外，手機(jī)版本在用戶的交互與體驗(yàn)方面也進(jìn)行了優(yōu)化，理順用戶的注冊(cè)流程，為新用戶的注冊(cè)提供方便;在界面顏色、文字顯示和兼容性方面進(jìn)行了優(yōu)化，提升了用戶體驗(yàn)。該版本的使用范圍十分廣泛，不但高端手機(jī)可以下載使用，而且在中低端手機(jī)上的瀏覽更加流暢，解決了入門(mén)門(mén)檻的問(wèn)題。

　　有了免費(fèi)的手機(jī)版，論壇手機(jī)用戶可以在地鐵、公交、會(huì)議等各種場(chǎng)合輕松的瀏覽論壇、發(fā)言頂貼，用戶可以隨時(shí)上傳對(duì)生活的所見(jiàn)所感，站長(zhǎng)也可以時(shí)刻關(guān)注論壇的動(dòng)態(tài)，在與本地論壇的銜接以及用戶體驗(yàn)感受上，保持高效而暢通的用戶體驗(yàn)。