Vault 7/ Angelfire, framework della CIA per spiare Windows

Angelfire è un set di malware in grado di infettare computer ed eseguire applicazioni. Lascia poche evidenze della sua esecuzione, tuttavia non è esente da difetti

Roma – Con un’ormai consueta cadenza settimanale, il 31 agosto WikiLeaks ha pubblicato un nuovo rilascio della serie Vault 7, dedicata alle soluzioni informatiche utilizzate dalla CIA.

Angelfire è stato realizzato dalla divisione Information Operations Center (IOC) della CIA: è un framework composto da cinque componenti (di seguito descritti), in grado di infettare computer bersaglio per poi eseguire applicazioni malevole, minimizzando l’utilizzo di risorse e quindi la presenza di segnali indicanti il fatto che i malware siano presenti nel sistema.

ioc cia

Solartime : un malware che modifica i settori di avvio del disco, per caricare del codice kernel che andrà a modificare le impostazioni di avvio di Windows, in modo da poter eseguire dei malware durante la fase dedicata al caricamento dei driver di avvio. Sia Solartime che il driver maligno caricato sono salvati all’interno di un file utente, cifrato.

Wolfcreek : il codice kernel utilizzato da Solartime.

Keystone : in precedenza noto come MagicWand , è il malware che consente di eseguire applicativi utente. Il malware viene eseguito esclusivamente all’interno della memoria del processo, in modo da minimizzare la presenza di indicator of compromise nel sistema. Inoltre, i processi creati da Keystone risultano essere figli del processo di sistema svchost.exe .

BadMFS : una libreria, provvista di interfaccia a riga di comando, che consente la creazione di un file system nascosto, in coda ad una partizione del disco. Viene utilizzato per salvare su disco i malware che devono essere eseguiti tramite Wolfcreek. Versioni alternative utilizzano un file chiamato zf , invece dello spazio non partizionato.

Windows Transitory File System : un metodo, alternativo a BadMFS, per salvare i file dei malware su disco. Viene soprattutto utilizzato per installare Angelfire per la prima volta. Questo malware consiste in un applicativo chiamato wtpack.exe e consente di salvare i malware all’interno di file temporanei, che possono essere creati, modificati ed eliminati per mezzo di un’interfaccia a riga di comando.

Angelfire supporta i sistemi operativi Windows XP, Vista, 7 e 2008 R2, sia a 32 che a 64 bit: dunque, i documenti pubblicati da WikiLeaks sono probabilmente antecedenti al 2012 .
Rispetto ad altri malware, Angelfire presenta punti deboli notevoli : problemi di memory leak , impossibilità di eliminare i driver malevoli, nomi di processo lasciati hard-coded .

Elia Tufarolo

Fonte Immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • sono la morte scrive:
    continuate a dormire..
    Il potere monopolistico dei giganti del tech non è più solo un tema di antitrust.Se Google, Facebook e Amazon (solo per citarne alcune) influenzano con il loro potere e i loro soldi i centri di pensiero indipendenti (ci sono casi persino di finanziamenti a professori universitari interpellati a "indorare la pillola" con alcune ricerche) che ne sarà della net neutrality, della libertà di pensiero e la pluralità dell'informazione?LA morte. Ma quella è già avvenuta, solo che pochi se ne sono accorti!
  • kappa effe scrive:
    men
    I hate men, all man are pigs
  • Open Sorcio scrive:
    Che schifo!
    Raga, basta usare G. come motore di ricerca!!! Usiamo tutti Qwant!!! Non traccia e su Qwant c'è il quick search!!! Esempio usando: "&w.it linux" si cercherà la parola "Linux" direttamente all'interno di Wikipedia Italia!!! Oppure, se si cerca "weather milano" appariranno le previsioni meteo per la città di Milano!!! Funziona uguale a DuckDuckGo!!! Ma allora perché usare Qwant??? Raga usiamo tutti DuckDuckGo!!! E sempre forza Linux amici!!!
    • ClosedSuc scrive:
      Re: Che schifo!
      Qualsiasi cosa! Qualsiasi, pur di non doverci sorbire i ricchioni di Cupertino.
    • AxAx scrive:
      Re: Che schifo!
      Già il fatto che obblighi ad usare javascript rende Qwant da scartare
      • Open Sorcio scrive:
        Re: Che schifo!
        - Scritto da:
        Già il fatto che obblighi ad usare javascript
        rende Qwant da
        scartareMa obbliga cosa??? Io Java non ce l'ho e funziona benissimo sia tramite sito, che tramite barra ricerca di Firefox!!! Tu sei uno sgherro di G. incaricato di buttare fango sul mitico Qwant!!! Ti ho scoperto!!! Amici avete visto dove sta arrivando G. pur di non perdere utenti??? Ma ci rendiamo conto??? Roba da matti!!! Ciao amici e sempre forza Linux!!!
        • Utente sconsolato scrive:
          Re: Che schifo!
          - Scritto da: Open Sorcio
          - Scritto da:

          Già il fatto che obblighi ad usare javascript

          rende Qwant da

          scartare

          Ma obbliga cosa??? Io Java non ce l'ho e funziona
          benissimoUhmmmmmmm... Comunque non lo conoscevo. Inserito in Firefox per per provarlo..
          • Open Sorcio scrive:
            Re: Che schifo!
            - Scritto da: Utente sconsolato
            Uhmmmmmmm... Comunque non lo conoscevo. Inserito
            in Firefox per per
            provarlo..Non traccia, non memorizza le ricerche e gli ip, nella home ha le notizie del momento, ha il quick search (spiegato poco sopra, ma puoi scoprirlo da solo scrivendo: &), il meteo della tua città scrivendo: weather (tua città), su Firefox se li usi, ha anche i suggerimenti di ricerca............ G. rimane G. nessuno lo può negare, ma una volta che ti disintossichi puoi anche farne a meno!!! Altre buone alternative che rispettano la privacy sono: DuckDuckGo e StartPage!!! Ciao amico e forza Linux!!!
        • maxfroch scrive:
          Re: Che schifo!
          XXXXXXXXX! Java o Javascript deciditi!
          • Open Sorcio scrive:
            Re: Che schifo!
            - Scritto da: maxfroch
            XXXXXXXXX! Java o Javascript deciditi!Io devo decidere??? Ma siete voi che avete tirato fuori la questione!!! Io Qwant lo uso, tu fatti tracciare brutto XXXXX a pedali!!! Tu non sei mio amico, ma forza Linux lo stesso!!!
          • maxfroch scrive:
            Re: Che schifo!
            CVD. non capisci un XXXXX.
          • Open Sorcio scrive:
            Re: Che schifo!
            - Scritto da: maxfroch
            CVD. non capisci un XXXXX.L'unica cosa che hai dimostrato è che non sai nemmeno cliccare bene su rispondi!!! Visto che la domanda avresti dovuto farla all'altro, che ha tirato fuori la questione dei javascript!!! E che tra l'altro mi ha dato ragione, quindi se c'è qualcuno che non capisce un XXXXX, quello sei tu babbeo!!! Forza Linux alla faccia tua!!!
          • maxsix scrive:
            Re: Che schifo!
            [img]http://1.bp.blogspot.com/-klHUk0fDPGU/Vzgq5SLaGjI/AAAAAAAACIE/U8C4gyuRR7svgGAcNJQREwiF6vXUSGtzQCLcB/s1600/BBA_02.jpg[/img]
        • AxAx scrive:
          Re: Che schifo!
          Hai ragione. Avevo scambiato il reload a lite.qwant.com con chiamata a javascript.
        • xte scrive:
          Re: Che schifo!
          java != javascript...Quanto a non traccia, non memorizza ecc dimmi: hai letto il codice e visto cosa c'è sui suoi server? Altrimenti non puoi affermarlo.Ps YaCy è un motore di ricerca opensource che puoi installare sul tuo computer ed usare per files tuoi come unirti alla rete mondiale per scansionare in comunità l'intera internet. Mi pare l'unico del suo genere quindi sembra opportuno citarlo.
          • Open Sorcio scrive:
            Re: Che schifo!
            - Scritto da: xte
            Quanto a non traccia, non memorizza ecc dimmi:
            hai letto il codice e visto cosa c'è sui suoi
            server? Altrimenti non puoi
            affermarlo.Mmmmm............ Hai ragione!!! Anche se tutto il mondo, compresi esperti del settore dicono che non traccia, né memorizza gli ip delle ricerche, io credo a te che sei l'unico a dubitarne!!! Mi hai convinto amico!!! In fondo che caxxo ne capiscono gli Anonymous di privacy!!!https://vimeo.com/173970428P.S. sempre forza Linux amico!!!
          • xte scrive:
            Re: Che schifo!

            Anche se tutto il mondo, compresi esperti del
            settore dicono che non traccia, né memorizza
            gli ip delle ricercheDimmi amico come fa tutto il mondo esperti o meno a sapere cosa fa se il suo codice non è pubblico e non han acXXXXX ai suoi server? Quali elementi possono avere? Ricorda che urlare qualcosa non implica che sia vero, in effetti di solito implica il contrario. Altra domanda: i server costano. Chi paga? YaCy per dire ha un'università dietro ed essendo *distribuito* non richiede servers particolari, sono gli utenti che formano la rete scaricando, compilando ed installando codice libero leggibile e controllabile.
            In fondo che caxxo ne capiscono gli Anonymous di privacy!!!Non so, non conosco nessun membro di questo gruppo, tu? Ah, se mettessi su una pagina con scritto "Anonymous" diverrei parte del gruppo e ufficiale portavoce per magia?
            P.S. sempre forza Linux amico!!!Forza *software libero* perché ne abbiamo un disperato bisogno, di creduloneria invece, di qualsivoglia genere, ne abbiamo tanta, troppa e anche se di buona volontà è un pericolo mortale.
          • Samantho scrive:
            Re: Che schifo!
            - Scritto da: xte
            Altra domanda: i server
            costano. Chi paga? Tu. Io. Tutti. E' finanziato dall'unione europea.
          • caccia gli script scrive:
            Re: Che schifo!
            opensorcio , i 12 anni li hai compiuti o sei ancora a 11 ?
          • tAPPLEbano scrive:
            Re: Che schifo!

            ...
            hai letto il codice...?
            ...Ha letto la trimestrale della papple, sta tutto scritto lì altrimenti non esiste.
          • xte scrive:
            Re: Che schifo!
            Non compro né posseggo o ho intenzione di comprare strumenti finanziari ad essa correlati (e non ho prodotti di quell'azienda) perché dovrebbe interessarmi il suo andamento economico?Posso chiedere, senza alcuna intenzione offensiva, perché secondo te qualcosa "di alternativo" (ovvero che tale si dichiara) dev'essere "migliore" del "mainstream" solo per il fatto di dichiararsi tale? Non ti viene in mente che è quel che facevano cert'uni comunisti che al posto dell'ideologia idolatravano il partito come una religione?
    • ... scrive:
      Re: Che schifo!
      - Scritto da: Open Sorcio
      Raga, basta usare G. come motore di ricerca!!!
      Usiamo tutti Qwant!!! Non traccia e su Qwant c'è
      il quick search!!! Esempio usando: "&w.it linux"
      si cercherà la parola "Linux" direttamente
      all'interno di Wikipedia Italia!!! Oppure, se si
      cerca "weather milano" appariranno le previsioni
      meteo per la città di Milano!!! Funziona uguale a
      DuckDuckGo!!! Ma allora perché usare Qwant???
      Raga usiamo tutti DuckDuckGo!!! E sempre forza
      Linux
      amici!!!ecco la lista dei blocchi che fa adblock... per essere un motore di ricerca che non traccia, secondo me vuole attivare troppi script.https://boards.qwant.com/https://www.qwant.com/https://lite.qwant.com/https://blog.qwant.com/https://www.qwantjunior.com/https://www.qwant.com/lite.bridgehttps://www.qwant.com/application.junior.enabledhttps://www.qwant.com/trends.enabledhttps://www.qwant.com/boards.enabledhttps://www.qwant.com/bookmarks.enabledhttps://www.qwant.com/report.enabledhttps://www.qwant.com/logo.urlhttps://www.qwant.com/img/logo/logo-310.pnghttps://www.qwant.com/report.from-users.enabledhttps://www.qwant.com/feedback.enabledhttps://www.qwant.com/ads.enabledhttps://www.qwant.com/restricted.categorieshttps://www.qwant.com/account.email.message.enabledhttps://www.qwant.com/account.start-page.enabledhttps://www.qwant.com/snippet.redirection.enabledhttps://www.qwant.com/snippet.add-qwant.enabledhttps://www.qwant.com/features.l10n.lang.detect.enabledhttps://www.qwant.com/features.l10n.lang.defaulthttps://www.qwant.com/features.l10n.region.defaulthttps://www.qwant.com/features.l10n.continent.defaulthttps://www.qwant.com/features.l10n.lang.switch.enabledhttps://www.qwant.com/features.l10n.region.switch.enabledhttps://www.qwant.com/project.interface.languageshttps://www.qwant.com/project.regionalisationhttps://www.qwant.com/faq.settings
      • Utente sconsolato scrive:
        Re: Che schifo!

        ecco la lista dei blocchi che fa adblock... per
        essere un motore di ricerca che non traccia,
        secondo me vuole attivare troppi
        script.Quella è la lista che mi viene fuori con NoScript senza permesso (il mio uhmmmmm... era con java=javascript). uBlock origin non mi segnala nulla.Quello che interessa è la qualità dei risultati di ricerca e non mi sembra male con 12 prove per ora. Ci vorrebbe un dedicato alla barra di ricerca Firefox con default lingua ita e senza filtri (es https://www.qwant.com/?l=it&h=1&hc=1&a=0&s=0&b=1&i=1&r=IT&sr=it). Inoltre se si seleziona solo web la colonna rimane confinata a sinistra senza espandersi se non erro.Sembra un mix tra aggregatore e ricerche.
        • Open Sorcio scrive:
          Re: Che schifo!
          - Scritto da: Utente sconsolato
          (il mio uhmmmmm... era con
          java=javascript).Amico, lo spiego a te perché sei intelligente e non uno scemunito come maxfroch!!! Se una persona mi dice che un sito obbliga l'uso degli javascript, cosa avrei dovuto pensare??? La cosa più sensata che mi è venuto in mente è che in realtà intendesse a qualche elemento java di cui invece non vi è traccia!!! Quindi gliel'ho fatto notare!!! Ciao amico e forza Linux!!!
          • Utente sconsolato scrive:
            Re: Che schifo!
            - Scritto da: Open SorcioSe una persona
            mi dice che un sito obbliga l'uso degli
            javascript, cosa avrei dovuto pensare???A NoScript o uMatrix per citarne due. Java proprio non c'entra, poi mi pare che da firefox 52 (a parte l'ESR), non c'è più neppure il supporto per il relativo plugin.L'"'Uhmmmmm..." non erà per giudicare, stava a significare 'Mi sa che mo' qualcuno ti risponde con commento versione nonciclopedia'...Comunque i javascript da abilitare li hanno anche gli altri; con DuckDuckGo la pagina non mi reindirizza automaticamente alla pagina non js se non abilito. QWant non sembra male, solo che non mi mette la bandierina ita di default con ricerca dalla barra (anzi, cambia ogni volta): è uno step in più.
      • Open Sorcio scrive:
        Re: Che schifo!
        - Scritto da: ...
        - Scritto da: Open Sorcio

        Raga, basta usare G. come motore di ricerca!!!

        Usiamo tutti Qwant!!! Non traccia e su Qwant c'è

        il quick search!!! Esempio usando: "&w.it linux"

        si cercherà la parola "Linux" direttamente

        all'interno di Wikipedia Italia!!! Oppure, se si

        cerca "weather milano" appariranno le previsioni

        meteo per la città di Milano!!! Funziona uguale
        a

        DuckDuckGo!!! Ma allora perché usare Qwant???

        Raga usiamo tutti DuckDuckGo!!! E sempre forza

        Linux

        amici!!!

        ecco la lista dei blocchi che fa adblock... per
        essere un motore di ricerca che non traccia,
        secondo me vuole attivare troppi
        script.Invece a me uBlock Origin, Ghostery e l'adbocker integrato di Firefox non rilevano elementi traccianti!!! Nemmeno uno!!! E comunque come ho già scritto, è raccomandato da Anonymous, che non sono dei babbi di XXXXXXX come maxfroch, tAPPLEbano e maxsix!!!https://www.anonymous-france.eu/qwant-the-search-engine-that-respects-your-privacy.htmlCiao amico e forza Linux!!!
    • Tullio andreis scrive:
      Re: Che schifo!
      Chissà perché hai paura che ti traccino...
      • panda rossa scrive:
        Re: Che schifo!
        - Scritto da: Tullio andreis
        Chissà perché hai paura che ti traccino...Non voler essere tracciati non presuppone necessariamente paura.E tu avresti bisogno di vivere qualche anno sotto un bel regime militare, per capire meglio il concetto di liberta'.
    • ZLoneW scrive:
      Re: Che schifo!
      Lo sto provando, Qwant: da una parte non mi piace che richieda una estensione e javascript attivo, dall'altra è estremamente interessante come presenta i risultati della ricerca, con immagini in testa e risultati provenienti da diversi tipi di fonti su più colonne distinte.E' certamente meno dettagliato e ricco di risultati rispetto a Google, ma le prime impressioni sono positive.
  • scopritore acqua calda e patata lessa scrive:
    vengono alla luce strane cose
    Abbiamo scoperto che Google fa lobbying e addirittura la fa pure coi soldi! :| :| :|E io che credevo che google fosse un convento delle orsoline con "vista sulle montagne"! :( :(
  • appendi cino scrive:
    money, moneuy, money
    Quello che mi chiedo da anni è se poteri istituzionali e giornalisti ci sono o ci fanno.Come sempre la risposta sarà nel mezzo: ci sono e ci fanno.Altrimenti sarebbero inspiegabili che cose che ogni individuo del volgo sospetta, pur senza averne le prove, provochino articoli come questo.A parte gli XXXXXXXXX, i bambini, gli sprovveduti e i navigatori solitari, tutti sanno che dove ci sono soldi c'è corruzione, menzogna, inganno, arrivismo, sopraffazione, egoismo e quant'altro.Lo sanno tutti, tranne istituzioni e giornalisti: le prime perché non attivano controlli a cadenza perdiodica (lo so, lo fanno perché sono sul libro paga di qualcuno), i secondi perché amplificano notizie come queste, cadendo dal pero (lo so, lo fanno perché anche loro sono sul libro paga di qualcuno).
    • iRoby scrive:
      Re: money, moneuy, money
      Il discorso è moooolto più complesso, ed ha a che fare con l'egemonia USA sull'occidente. Quel paese sta perdendo la leadership e i centri di potere si sono spostati nel continente asiatico e gli alleati russi.A questa cena ci sono tutti i rappresentati di aziende che in un modo o nell'altro sono state accusate da Snowden ed altre istituzioni di inserire backdoor, praticare censure e fare in un modo o nell'altro gli interessi degli USA.È un caso?È una cena tra amici?Suvvia non si da a Twitter $1 miliardo di prestiti praticamente a fondo perduto senza uno straccio di modello di business.[img]http://www.startup-book.com/wp-content/uploads/2011/04/titandinnerwnames.jpg[/img]
    • iRoby scrive:
      Re: money, moneuy, money
      Tra l'altro ti consiglierei l'articolo di Blondet che cita due ottimi libri di Marco della Luna.http://www.maurizioblondet.it/sfuggire-dal-governo-zootecnico-mondialeCito:-------Per lorsignori, il profitto ha perso importanza come movente perché lo ha già, garantito, esentasse; banche centrali e stati già gli forniscono tutti i fiumi di denaro necessari e superflui, indebitando e tassando i contribuenti. Sicché lautore giunge a preconizzare perfino il tramonto della finanza, beninteso come sistema di dominio della società. Un tramonto che non coinciderà con la nostra liberazione, anzi al contrario: lo stanno già sostituendo con il nuovo: il dominio diretto e materiale sulla società, attraverso la gestione coercitiva del demos, potente e unilaterale e insieme non responsabile delle scelte verso i suoi amministrati, non diversamente dalla zootecnia non è responsabile verso gli animali di allevamento.
  • jack scrive:
    che ne sarà...


    che ne sarà della net neutrality, della libertà di pensiero e la pluralità dell'informazione?sono mai veramente esistite? cerchiamo di essere obiettivi e di guardare la realtà per quello che è
  • AxAx scrive:
    Benvenuti nel 2017
    Il prossimo step per la libertà dell'umanità sarà buttare tutti i cellulari e mandare affanXXXX la rete.
    • iRoby scrive:
      Re: Benvenuti nel 2017
      No di sicuro quando Google sarà un'entità troppo pervasiva, ci saranno alternative e ci si sposterà su quelle.Purtroppo le alternative cinesi soffrono di altri tipi di censura.Dovrebbero unirsi paesi in cui si è deciso di prendere un pochino più seriamente i diritti umani, ma sono paesi spesso non facoltosi e investire in questi settori è costoso.Google può farlo solo perché dalla NSA/CIA arrivano miliardi a fondo praticamente perduto.
      • sono la morte scrive:
        Re: Benvenuti nel 2017
        - Scritto da: iRoby
        No di sicuro quando Google sarà un'entità troppo
        pervasiva, ci saranno alternative e ci si
        sposterà su
        quelle.

        Purtroppo le alternative cinesi soffrono di altri
        tipi di
        censura.

        Dovrebbero unirsi paesi in cui si è deciso di
        prendere un pochino più seriamente i diritti
        umani, ma sono paesi spesso non facoltosi e
        investire in questi settori è
        costoso.
        Google può farlo solo perché dalla NSA/CIA
        arrivano miliardi a fondo praticamente
        perduto.Ecco il perché l'utente sopra il tuo post ha ragione! Le alternative non aspettano altro che il loro turno di censurare e servirsi del potere per essere i potenti di turno, cinesi e non.Buttare tutti i cellulari e i servizi connessi a determinate aziende/lobbing e il primo passo. Se li bruciate del tutto e tornate ai vecchi gsm, e già un passo avanti, sarete sempre e comunque ascoltati da 'orecchie' terzi, ma almeno si limiteranno a quello, se confrontiamo i smartphonerecchione di oggi giorno.Ma essendone sottomessi totalmente dagli stessi, in pochi lo farebbero.
      • ZLoneW scrive:
        Re: Benvenuti nel 2017
        - Scritto da: iRoby
        No di sicuro quando Google sarà un'entità troppo
        pervasiva, ci saranno alternative e ci si
        sposterà su quelle.Quando sarà troppo pervasiva, sarà tardi e non ci sarà spazio per alternative.Monopoli del genere si rompono con la lotta armata, non certo con strumenti economici e finanziari che inevitabilmente sono a vantaggio del monopolista, temo...
Chiudi i commenti