五眼情报联盟军械库部分曝光，组件结构短小精悍

WARRIORPRIDE 是五眼情报联盟开发的一款恶意软件框架。有技术研究团队成功复制了其众多拦截模块中一个名为 QWERTY 的组件。对此恶意软件的研究对情报界有重要意义。

阅读本文英文版 PDF ：Sample code of a malware program from the Five Ey

介绍

 

五眼情报联盟成员之间经常会分享一些工具和技术，在某些情况下还共同开发新技能，例如 WARRIORPRIDE 恶意软件框架。

WARRIORPRIDE 与我们在五眼情报联盟军械库中发现的所有恶意软件一样，具有多种功能且使用起来非常灵活。

在 WARRIORPRIDE 拥有的众多拦截模块中，技术研究团队成功复制了 QWERTY （ WARRIORPRIDE 组件）。

根据斯诺登泄露的文档， QWERTY 可以通过隐蔽的方式记录受感染 Windows 主机的所有击键内容。

《明镜》周刊目前正着手将 QWERTY 公之于众，从而对其展开进一步研究与调查。《明镜》周刊相信，此款恶意软件（貌似开发于几年前，或将被新型变体所取代）的公开不会对当前行动有任何影响。

技术预览

 

QWERTY 键盘记录器是恶意软件框架中的一款插件，用来拦截受害者的所有击键记录，以备日后查看。

QWERTY 的结构非常简单，由核心组件 QwertyKM （与 Windows 键盘管理器直接接合的驱动）及 QwertyLP 库（与驱动进行交互，以获取用户击键记录并保存在某文件夹中）构成。

QWERTY 由下方二进制文件组成：

20120.dll20121.dll20123.sys

这些组件都具有一个结构化 XML 文件，该文件可以定义所有可用命令及从属。

我们可以从斯诺登泄露的文档中了解到，WARRIORPRIDE 是 WzowskiCNE 库的执行。在 QWERTY 的部分 XML 文件中可以发现 WARRIORPRIDE 与 WzowskiLib v2.1 从属以及更加通用的 CNELib v2.0 有关。

此外，我们可以从其中一个二进制文件中发现下列字符串的硬编码：

C:\dev\k1svn\dsd\lmplants\WarriorPride\production2.0\package\E_Wzowski\Release\E_Qwerty.pdb

这在极大程度上肯定了与 WARRIORPRIDE 的关联性，还暗示了可能与五眼情报联盟成员澳大利亚国防通讯处（ Defense / AustralianSignals Directorate，简称 DSD 或 ASD ）有关。

恶意软件示例存在于受密码保护的压缩文件（密码“ infected ”）中。该 base64 编码文件附于此处。

为了避免某些 PDF 读者在复制与粘贴的过程中产生不便，下方命令行可在 Linux 系统中使用，以便从此 PDF 中轻易提取压缩文件：

△1

△2

△3

△4

△5

△6

△7

△8

△9

△10

△11

△12

△13