維基解密更新：CIA新工具HighRise可輕鬆竊取安卓設備簡訊

本周四，維基解密又更新了一款CIA Vault 7 系列新工具 HighRise（摩天大樓）。這是一款安卓惡意程序，可以攔截 SMS 消息並將其重定向至遠程的 CIA 伺服器上。有很多IOC 工具可以利用簡訊在植入的APP和監聽 POST之間進行通信，而 HighRise 相當於一個SMS簡訊代理，將「收到」和「發出」的 SMS簡訊息代理到互聯網LP中，進而在目標設備和監聽站（LP）之間進行更大的隔離。同時，HighRise 在自身操作者和監聽站之間建立一個基於 TLS/SSL 安全網路通信的信道。

根據維基解密的揭秘的 CIA HighRise 工具手冊

<點擊閱讀原文查看鏈接>

，HighRise 目前只在安卓 4.0 到 4.3 版本上運行 （包括 Android 4.0 冰激凌三明治和 Android 4.1 果凍豆版本），這些版本占目前安卓市場的8.8%。但事實上，HighRise 的文件詳情卻顯示，這個惡意程序在 2013 年 12 月就已經創建，並在這四年來與安卓各版本同步更新，以便在安卓最新版本中運行。

HighRise 的運作方式

一般來說，惡意軟體通過內部連接把從被入侵設備中盜取的信息發送給由攻擊者控制的伺服器（監聽站），但在智能手機的案例中，惡意軟體也能通過發送簡訊等方式將被盜數據傳給攻擊者。但要通過簡訊收集被盜數據，就需要篩選並分析從多個目標設備中收到的大量信息。為解決這個問題，CIA 就創建了一個 APP ，作為被入侵設備和監聽站伺服器之間的簡訊代理。

HighRise 就來源於一個名為 TideCheck 的 APP (tidecheck-2.0.apk MD5: 05ed39b0f1e578986b1169537f0a66fe)，用於從被入侵設備中通過簡訊接收所有的被盜數據。這個 APP 需要手動安裝，並至少需要一次手動啟動才能保證 HighRise 持久運行。HighRise 這麼麻煩的安裝和啟動過程可以表明其目的並非是為了進行社會工程學攻擊。

首次啟動 HighRise 時，CIA 員工必須輸入特殊代碼進行設置。這個特殊代碼是 「inshallah」 ,意思是 「神的旨意」 。

代碼輸入之後，就會展示配置頁面，頁面上有三個按鈕，如下圖

其中：

initialize（初始化）——可以啟動 HighRise 工具；

Show Configuration（顯示/編輯配置） —顯示並編輯 HighRise 的配置文件，包括必須使用 HTTPS 的監聽站伺服器URL；

Send MEssage（發送信息）——允許操作者從手機端向 CIA 控制的遠程伺服器發送簡訊。

正確初始化並配置後，

TideCheck

APP 就會持續在後台運行並監控來自被入侵設備的信息；接收後就會將每條信息通過一個TLS/SSL安全互聯網通信信道轉發給CIA的監聽站伺服器。

參照維基解密泄露的手冊， HighRise 的主要特徵如下：

1. 向CIA控制的聯網伺服器發送手機收件箱的所有信息；

2. 通過 HighRise 主機從被入侵的手機端發送SMS消息；

3. 為HighRise 操作者和監聽站之間提供通信信道；

4. 利用TLS/SSL安全互聯網通信。

基於後兩個特徵，HighRise 嚴格意義上說並非是安裝在被入侵手機上的工具，而是可以安裝在CIA員工手機上的一款APP，可以為操作者和監聽者之間提供二級、加密的通信信道。

其他 Vault 7 系列工具

維基解密周四泄露的文件僅僅是CIA Vault 7 系列文件中的一小部分。此前，FreeBuf 也一直關注維基解密的更新，並給出了一系列報道，感興趣的朋友可以去主站搜索維基解密關鍵詞，查看相關文章。

以下是維基解密揭露的 CIA Vault 7 系列工具列表<點擊閱讀原文查相關鏈接>：

?

BothanSpy & Gyrfalcon

- 竊取 SSH 登錄憑證的工具（2017.7.6）

?

OutlawCountry

- 入侵 Linux 系統的工具（2017.6.30）

?

ELSA

- 可以對 Windows 用戶實施定位的惡意軟體（2017.6.28）

?

Brutal Kangaroo

- 入侵隔離網路的工具（

2017.6.22

）

?

CherryBlossom

- 入侵 SOHO 無線路由器的工具（

2017.6.15

）

? Pandemic - 用惡意程序代替合法文件的工具（2017.6.1）

?

Athena

- 與某美國公司共同開發的惡意軟體框架（2017.5.19）

?

AfterMidnight and Assassin

—— Windows 惡意軟體框架（2017.5.12）

? Archimedes —— 實施中間人攻擊的工具（2017.5.5）

?

Scribble

—— Office 文檔追蹤工具（2017.4.28）

? Weeping Angel ——入侵 Samsung 智能電視的工具（2017.4.21）

? HIVE—— 多平台入侵植入和管理控制工具（2017.4.14）

? Grasshopper —— Windows 惡意軟體生成器(2017.4.7)

?

Marble Framework —— 秘密反監識框架（2017.3.31）

? Dark Matter —— 入侵 iPhone 和 Mac 的工具（2017.3.23）

*參考來源：bleepingcomputer, THN 等，AngelaY 編譯，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: