維基解密剛剛公布了一批新的CIA Vault 7 資料，詳細說明了針對微軟Windows平臺的兩款CIA惡意軟件框架“午夜之后 (AfterMidnight)” 和 “刺客 (Assasin)”。
這兩款惡意軟件程序旨在監控并返回針對運行Windows操作系統的受感染遠程主機計算機的攻擊并執行由CIA指定的惡意行動。自從3月份起，維基解密已經公開成千上萬份聲稱來自CIA的文檔和秘密黑客工具。目前公布的這批新文檔是第8彈。
“午夜之后”惡意軟件框架
維基解密發布一份聲明稱“午夜之后”惡意軟件框架能讓操作者在目標系統上動態加載并執行惡意有效負載。這個惡意有效負載的主要控制器偽裝成自我持續的Windows DLL文件并執行“小精靈”——即通過推翻目標軟件的功能、調查目標或為其它小精靈提供服務的仍然隱藏在目標設備上的小規模有效負載。

一旦被安裝到目標機器上，“午夜之后”就會使用一個基于HTTPS的LP系統即Octopus來檢查是否存在任何安排活動。如發現，它就會在將所有新型小精靈加載到內存之前下載并存儲所有所需組件。最新泄露文檔中的一份用戶指南顯示，跟“午夜之后”相關的本地存儲是通過未存儲在目標機器上的密鑰加密的。
一個特殊的有效負載“阿爾法小精靈”包含一種自定義腳本語言，甚至允許操作者安排將在目標系統上執行的自定義任務。
“刺客”惡意軟件框架
“刺客”跟“午夜之后”類似，被描述為“一種自動化植入，為運行微軟Windows操作系統的遠程計算機提供簡單的采集平臺”。一旦被安裝到目標計算機上，它就會在一個Windows服務進程中運行植入，能讓操作者在受感染設備上執行惡意任務，跟“午夜之后”如出一轍。
“刺客”包含四種子系統：植入、生成器、命令和控制和監聽站。
“植入”在目標Windows機器上提供該工具的核心邏輯和功能，包括通信和任務執行。它通過“生成器”配置并通過一些未定義向量部署到目標計算機上。
“生成器”在部署之前配置“植入”和“部署可執行文件”，并且“提供一個自定義命令行界面，在生成植入之前設置植入配置”。
“命令和控制”子系統是操作者和監聽站之間的界面，監聽站能讓“刺客”植入通過一個網絡服務器跟命令和控制子系統通信。
上周，維基解密發布一種中間人攻擊工具“阿基米德”。