便利な（？）CIAハッカー学校のヒント

新しいWikiLeaksデータリークには、エクスプロイトを作成する方法としない方法に関するヒントが含まれています

WikiLeaksに投稿されたデータには、CIA（Engineering Development Group、EDG）に関連する数千のファイルが含まれています。 CIA Cyber​​ Intelligence Centerのこの組織は、CIAの目標を達成するために、世界中のデジタルデバイスをハッキングするためのツールを作成する責任を負っています。 プロジェクトの追跡と文書化に使用されるサーバーから漏れた文書。



これらのドキュメントの多くは分類されていません。たとえば、ロッキードマーチンや他のメーカーからの指示を見つけることができます。 Microsoft Visual Studioの初心者向け初心者向けガイドなど、無害なものも含めて、ほとんどが「秘密」に分類されています。 また、 TriganマンガシリーズからミームやアニメーションGIFを作成するためのコンポーネントもあります。



ドキュメントの一部は「極秘」とマークされています。 これらのドキュメントを含むセクションは、「特別なデータ」（Special Intelligence、SI）およびNOFORN（国外には配布しない）としてマークされています。 1000以上のドキュメントで構成される最初のグループのうち、このレベルで分類されるのは2つの段落のみです。 このデータは、CIAネットワークツールの暗号化機能がどのように機能するか、およびCIAがエクスプロイトラボで使用する電話を受信および準備する方法の詳細を説明しています。



ほとんどの場合、ドキュメントによって引き起こされる損害は、ハッキングやネットワークスパイ行為に対するCIAの機能について話すことではありません。 問題は、これらのドキュメントが技術仕様、ルール、およびハッキングツールを開発するチームの作業のその他の詳細をどのように詳細に記述しているかです。 現在、ドキュメントを研究した人は誰でも、EDGが他の人の悪意のあるプログラムで使用されるトリックを使用して独自のプログラムを作成する方法、およびCIAによると、攻撃およびスパイツールを開発する際にすべきこととすべきでないことを知ることができます。 言い換えれば、ハッカーチームからのスカウトの専門的な仕事の詳細がCIAサーバーから漏洩しました。



ただし、これらの詳細のほとんどは、初心者向けのマルウェアの指示のように見えます。 2013年にCIA開発者によって行われたいくつかのコメントは、これらのルールが時代遅れであることを示しています。 これらの技術の多くはもはや秘密ではありません。



これを実証するために、AEDマルウェア開発の秘密からの抜粋についてコメントしました。 これらのルールの多くは、コンピューターセキュリティアプリケーションの開発に適用されます。 それらのほとんどは、これらのアプリケーションの調査の難しさに関連しているため、敵チームがマルウェアの仕組みを特定して理解することはさらに困難です。 コードを記述するための規則についてのありふれた事柄の中には、次のものがあります。

1.名刺を残さないでください

開発者は、ツール、ブックマーク、マルウェアがどこから来たのかを攻撃者が判断できるようなことは何もしないようにアドバイスされました。



「米国の労働時間（午前8時から午後6時まで）に対応する、コンパイラ、リンカー、ビルダー、アクセス時間などのタイムスタンプを残さないでください。」 このようなアーティファクトは、多くの場合、マルウェアのソース国を決定するプロセスの一部として決定するためにアナリストによって使用されます。



開発者は、すべての時間依存操作にUTC時間を使用することをお勧めします。 これにより、まとまりのある作業と、特定のタイムゾーンの暗示がなくなります。



「すべてのデバッグ情報、マニフェスト（Microsoft Visual C ++から）、ビルドパス、バイナリファイルの最終ビルドからの開発者名を削除します。」 このようなことは、著者を確立するためにも使用できます。 同じ理由で、文書は「CIA、米国政府またはそのパートナー企業によるこのツールの開発または使用への関与を示すデータをバイナリに残さない」ように開発者を説得します。



主な安全上の警告の1つがあります。「CIAまたは米国政府の用語、部門名、操作のコード名、またはその他の用語を含むバイナリデータに保存しないでください。」



ツールを開発するときに使用すべきではない別の警告、わいせつな言語があります。 「バイナリでわいせつな言葉を使用しないでください。 このような言葉やハッカー用語は、バイナリファイルの不必要な徹底的なチェックにつながる可能性があります。

2.被害者のコンピューターを混乱させないでください

次に、開発者は初心者の間違いについて警告され、ツールのリバースエンジニアリングを促進します。 悪意のあるクラブの最初のルールは、マルウェアの存在に不必要な注意を向けないように、被害者のコンピューターを混乱させないことです。



「コンピューターがユーザーの要求（CPUスパイク、画面のちらつき、フリーズなど）に応答しなくなる可能性のある操作を実行しないでください。」



「コンピューターがユーザーの要求に応答しなくなったり、システム管理者に信号を送信したりするディスク操作を実行しないでください。」 この状況で最後に必要なのは、誰かがシステムインスペクターを見て、Notepad.exeプログラムがCPU、ネットワーク、およびドライブI / Oのすべてのリソースを使い果たしていることを発見した場合です。



「記録可能なファイルの最大サイズと数の設定を検討してください。」 これにより、たとえば、コンピューターのドライブがいっぱいになるのを防ぐことができ、その後、サポートエンジニアがコンピューターを検査するリスクが高まります。



同じ理由で、ドキュメントでは「クラッシュダンプおよびコアダンプファイルを作成しないでください。プログラムがクラッシュした場合、ブルースクリーン、ワトソン博士のポップアップダイアログ、その他のアーティファクトを呼び出さないでください。」 エラーメッセージは双方向に機能します-開発者とプログラム研究者の両方に役立ちます。 AEDの開発者は、この場合にプログラムを放棄して、彼らがこのケースで自分自身を手放さないことを確認することをお勧めします。





これらの指示は、このIBM System / 370メインフレームと同じくらい現代的です。

3.暗号化を使用する

目立たない作業のもう1つの機能は、ツールで使用されるデータの暗号化です。 メモリ上、ディスク上、ネットワーク上。 ドキュメントの1つには、次のヒントが含まれています。



「ツールに直接関連するすべての文字列データと設定を難読化または暗号化で保護します。」 エディターで設定ファイルまたは実行可能ファイルを調べている人は、テキストデータに基づいてツールの機能とデータの送信先のみを把握できないはずです。 開発者は、現在必要な情報のみを復号化し、使用後すぐにメモリから削除するコードを作成することをお勧めします。 「プログラムの最後でこれを行うために、オペレーティングシステムに依存しないでください。」



「プレーンテキストのデータをディスクに書き込まないでください」、これはすぐに不快な状況につながる可能性があります。 「ディスクに書き込まれたすべてのデータを暗号化する」および「ディスクからデータを削除するときは安全な消去を使用します[ゼロでデータを上書きする]」。 この方法で削除されたファイルは復元できません。



「すべてのネットワーク通信にエンドツーエンドの暗号化を使用する」-ネットワークに送信される暗号化されていないデータの受動的な収集がすべてを台無しにするため。



標準のインターネットプロトコルを使用して、通信が他のネットワークトラフィックとマージされるようにします。独自のプロトコルではなく、他のネットワークトラフィックを通過させようとします。 誤って実装されたプロトコルは、Wiresharkタイプのネットワークモニター上の誤ったトラフィックのように見え、注意を引く可能性があります。



データセキュリティについては、SSL / TLSだけに頼らないでください-SSLプロキシはMitM攻撃を受けやすいため、これは最も安全なメッセージングアプリケーションにとっても横向きです。



「[ジッター]ネットワークメッセージの送信に可変サイズとランダム時間を使用します。 固定サイズおよび送信時間の予測可能なパケットを送信しないでください。 ネットワーク接続を適切にクリーニングします。 残留化合物を残さないでください。」 つまり、メッセージを送信するサイズと時間を変更すると、ツールがその存在を宣伝するのを減らすのに役立ちます。

4.敵の研究チームの作業を促進しない

スパイツールの作成に関する問題では、怠programmerなプログラマーは悪いプログラマーです。 推奨事項は、CIAの動作を明らかにする可能性のあるずさんな活動から保護するために設計されたプログラミング衛生のさまざまな側面について述べています。



「デバッグシステムの出力を最終アセンブリから削除する」-サードパーティがプログラムの機能を理解しようとする場合、デバッグツールよりも便利なものはないためです。



「プログラムの明示的な目的に一致しない関数を明示的に呼び出したりインポートしたりしないでください。」 言い換えれば、notepad.exeプログラムのふりをする場合、notepad.exeが引き起こさないプロセスを引き起こすべきではありません-これは疑念を引き起こし、静的分析を使用してプログラムの本当の目的を容易に認識できるようにします。



「わかりやすい名前の関数をエクスポートしないでください。 作業にエクスポートが必要な場合は、一般的な名前または疑わしい名前を使用してください。 「__declspec（dllimport）void DoVeryBadThings（）」のようなコードがアナリストの注意を引く可能性があるためです。

「ディスク上のデータを必要なく読み取り、書き込み、またはキャッシュしないでください。」 録音への情熱は痕跡を残す場合があります。



必要なサイズを超えないでください：「被害者のコンピューターにダウンロードするすべてのバイナリのサイズを最小化するために合理的な努力をしてください（パッカーや圧縮を使用せずに）。 フル機能のツールの理想的なバイナリは150 Kbを超えてはなりません。



「ネットワークを介したデータ送信の再試行の可能性を許可しないでください。」 つまり、プログラムと管理サーバー間の接続は日付と時刻に依存する必要があるため、トラフィックを記録して、それが何をしているかを把握しようとして機器に送信することはできません。

5.プログラムに対するウイルス対策の応答を確認します

すべてが開発で機能しました



CIA文書に含まれる推奨事項の一部は、PSP / AV製品（個人用セキュリティ製品、個人用セキュリティ製品）に関連しています。 この名前は、Shadowbrokersハッカーによって発行されたCIA文書ですでに見つかっています。



ドキュメントによると、AED開発サイクルの一部には、仮想DART環境での厳密なテストが含まれます。 このシステムは、VMwareおよび自動テストと展開のためのいくつかのプログラムに基づいて、ロッキードマーティンで作成されました。 しかし、このような環境は、特にウイルス対策ソフトウェアによる検出のチェックに関して、AEDで開発されたプログラムの包括的なテストに必ずしも理想的とは限りません。



その結果、開発者は無料の製品だけでなく、実際の製品を使用してテストをセットアップする必要があります。 「無料のPSPが有料のものと同一であると想定しないでください」とこの文書は警告しています。 「可能な限り、有料版を確認してください。」



さらに、信頼性のために、これらのテストは最近更新されたウイルス対策で実行する必要があります。これは、製造元が定期的に新しいデータを顧客に送信するためです。 「機能している（または最近機能している）インターネット接続でPSPをテストしてください」とこのドキュメントは述べています。 また、彼は次のように警告しています。「利益とリスクのバランスをとる必要があり、慎重に検討する必要があります。 ウイルス対策ソフトウェアが調査中のプログラムの例をダウンロードすることはよく知られています。



つまり、動作するインターネット接続でツールをテストすると、テスト対象のツールがウイルス対策メーカーの脅威ライブラリにアップロードされる可能性があり、場合によっては、VirusTotalなどの脅威防止プラットフォームと共有される可能性があります。 これにより、ツールが役に立たなくなる可能性があります。

古いデータ

特に、彼ら自身がこれらの推奨事項がどれだけ古いかを理解していたため、CIA開発者がどのように漏れた文書からの推奨事項を厳守したかは知られていない。 2013年、システムの2人のユーザーがこれについてコメントセクションで書きました。「このページのインテリジェンスのヒントの多くは間違っています。」 別の追加：「正直なところ、これらはすべてすでに古くなっている可能性が高いです。」 これらの推奨事項が更新された期間は不明です。



4年後、いくつかの推奨事項はさらに時代遅れになりました。 これは主に、OSに組み込まれているものを含むマルウェア検出ツールの開発によるものです。 しかし、政府の支援なしで働いているマルウェア作成者が使用するトリックがこれらのヒントをすべて上回ったという役割も果たしました。 もちろん、CIAの有無にかかわらず、すべてのプログラマーが最新のテクニックを使用するという保証はありません。