五眼情报联盟军械库部分曝光,组件结构短小精悍
WARRIORPRIDE 是五眼情报联盟开发的一款恶意软件框架。有技术研究团队成功复制了其众多拦截模块中一个名为 QWERTY 的组件。对此恶意软件的研究对情报界有重要意义。
阅读本文英文版 PDF :Sample code of a malware program from the Five Ey
介绍
五眼情报联盟成员之间经常会分享一些工具和技术,在某些情况下还共同开发新技能,例如 WARRIORPRIDE 恶意软件框架。
WARRIORPRIDE 与我们在五眼情报联盟军械库中发现的所有恶意软件一样,具有多种功能且使用起来非常灵活。
在 WARRIORPRIDE 拥有的众多拦截模块中,技术研究团队成功复制了 QWERTY ( WARRIORPRIDE 组件)。
根据斯诺登泄露的文档, QWERTY 可以通过隐蔽的方式记录受感染 Windows 主机的所有击键内容。
《明镜》周刊目前正着手将 QWERTY 公之于众,从而对其展开进一步研究与调查。《明镜》周刊相信,此款恶意软件(貌似开发于几年前,或将被新型变体所取代)的公开不会对当前行动有任何影响。
技术预览
QWERTY 键盘记录器是恶意软件框架中的一款插件,用来拦截受害者的所有击键记录,以备日后查看。
QWERTY 的结构非常简单,由核心组件 QwertyKM (与 Windows 键盘管理器直接接合的驱动)及 QwertyLP 库(与驱动进行交互,以获取用户击键记录并保存在某文件夹中)构成。
QWERTY 由下方二进制文件组成:
20120.dll20121.dll20123.sys |
这些组件都具有一个结构化 XML 文件,该文件可以定义所有可用命令及从属。
我们可以从斯诺登泄露的文档中了解到,WARRIORPRIDE 是 WzowskiCNE 库的执行。在 QWERTY 的部分 XML 文件中可以发现 WARRIORPRIDE 与 WzowskiLib v2.1 从属以及更加通用的 CNELib v2.0 有关。
此外,我们可以从其中一个二进制文件中发现下列字符串的硬编码:
C:\dev\k1svn\dsd\lmplants\WarriorPride\production2.0\package\E_Wzowski\Release\E_Qwerty.pdb
这在极大程度上肯定了与 WARRIORPRIDE 的关联性,还暗示了可能与五眼情报联盟成员澳大利亚国防通讯处( Defense / AustralianSignals Directorate,简称 DSD 或 ASD )有关。
恶意软件示例存在于受密码保护的压缩文件(密码“ infected ”)中。该 base64 编码文件附于此处。
为了避免某些 PDF 读者在复制与粘贴的过程中产生不便,下方命令行可在 Linux 系统中使用,以便从此 PDF 中轻易提取压缩文件:
△1
△2
△3
△4
△5
△6
△7
△8
△9
△10
△11
△12
△13