簡介
2017年11月9日, 維琪解密(WikiLeaks)公開了Hive的原始程式碼和開發日誌, Hive是CIA用於控制其惡意軟體基礎設施的主要元件, 針對常規作業系統和一些特定的路由和視頻設備植入後門。
Hive有兩個主要功能:beacon和互動式shell, 用於部署CIA後續的“全功能的工具”。
關於穹頂8(Vault8)和Hive“穹頂8系列主要內容為:CIA軟體專案的原始程式碼及其分析, 也包括穹頂7系列中的內容。
公開這個系列可以説明調查研究者、取證專家以及公眾更好地識別和理解CIA的秘密基礎設施。
本系列中發佈的原始程式碼包含了用於在CIA控制的伺服器上運行的軟體。 與維琪解密之前的Vault7系列一樣, 維琪解密發佈的材料不包含0day或類似的安全性漏洞, 以防止被惡意攻擊者所利用。 ”
——引用自 https://wikileaks.org/vault8/
Hive為以下目標作業系統和體系架構的處理器植入了惡意程式。
因為在此之前, 無論惡意軟體的威力有多麼大, 如果它無法找到與其控制者安全地通信而不被發現的方法, 那也是一無是處。 而對於Hive來說, 即便其植入程式在目標主機上被發現, 如果僅僅只看它與互聯網上其他主機的通信, 也很難通過這些線索找出CIA。 Hive為各種CIA惡意軟體提供了一個隱蔽的通信平臺, 它將目標主機上洩露的資訊發送給CIA的伺服器, 然後接受CIA控制者的新指令。
Hive可以在目標主機上使用多個植入程式進行多項操作。 每個操作匿名註冊至少一個隱藏欄位(例如“perfect-boring-looking-domain.com”)供其使用。 運行功能變數名稱網站的伺服器是從從商業主機提供商那裡租用的VPS(虛擬專用伺服器),
如果有人偶然訪問到這些網站, 封面(cover)伺服器則會傳送“無害”(innocent)的內容,
植入程式認證的數位憑證是由CIA冒充現有實體產生的。 在原始程式碼中包含的三個示例為卡巴斯基實驗室構建了假證書, 假裝由開普敦的Thawte Premium Server CA簽署。這樣一來,即便目標群組織查看到了網路中出現的網路流量,目標群組織也可能錯誤地以為流量來自那些其實是CIA冒充的實體。
Hive的文檔可以從WikiLeaks Vault7系列獲得。
Vault8項目的原始程式碼線上流覽:
https://wikileaks.org/vault8/document/repo_hive/
client端
server端(部分)
原始程式碼完整版下載:
https://wikileaks.org/vault8/document/repo_hive/hive.zip
Hive的提交歷史(部分)
Hive的提交歷史完整版下載:
https://wikileaks.org/vault8/document/hive-log/hive-log.pdf
Hive7的用戶文檔
https://wikileaks.org/vault7/document/hive-UsersGuide/hive-UsersGuide.pdf
假裝由開普敦的Thawte Premium Server CA簽署。這樣一來,即便目標群組織查看到了網路中出現的網路流量,目標群組織也可能錯誤地以為流量來自那些其實是CIA冒充的實體。Hive的文檔可以從WikiLeaks Vault7系列獲得。
Vault8項目的原始程式碼線上流覽:
https://wikileaks.org/vault8/document/repo_hive/
client端
server端(部分)
原始程式碼完整版下載:
https://wikileaks.org/vault8/document/repo_hive/hive.zip
Hive的提交歷史(部分)
Hive的提交歷史完整版下載:
https://wikileaks.org/vault8/document/hive-log/hive-log.pdf
Hive7的用戶文檔
https://wikileaks.org/vault7/document/hive-UsersGuide/hive-UsersGuide.pdf