{
	"id": "e38b9aa3-cd58-43a3-8cfc-df63fdf30fe7",
	"created_at": "2026-04-06T00:13:34.962407Z",
	"updated_at": "2026-04-10T03:31:17.805054Z",
	"deleted_at": null,
	"sha1_hash": "2f7c7eb8a449302be0d4beb6f2e49a02c5428e40",
	"title": "奇安信威胁情报中心",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 4305349,
	"plain_text": "奇安信威胁情报中心\r\nArchived: 2026-04-05 22:21:05 UTC\r\n引言\r\n2017年3月7日，维基解密首次在其网站对外曝光了美国中央情报局（CIA）相关资料，并且代号为\r\nVault7[参考链接: 5]，并且从当月直至9月7日每周都会对外披露其中一个项目的相关资料内容[4]。在这批\r\n泄露资料中，主要涉及其相关网络武器库和行动项目的代号和对应文档介绍，鲜有具体的涉及implant\r\n（植入物）的技术实现和利用细节。\r\n2017年4月，国外安全厂商赛门铁克和卡巴斯基分别发布了对相关网络武器库的研究报告，其分别命名为\r\nLonghorn[1]和The Lamberts[2]。在相关的研究报告中给出了涉及多种网络武器的命名和分类，以及其归属\r\n的关联性判断依据等，但涉及实际技术分析的内容依然很少。\r\n奇安信威胁情报中心红雨滴团队对历史曝光的CIA网络武器及相关资料进行研究，并发现了多种网络武器\r\n文件，并且根据分析的结果与现有公开资料内容进行了关联和判定。并且我们还发现这些网络武器曾用\r\n于攻击中国的目标人员和机构，其相关攻击活动主要发生在2012年到2017年（与Vault7资料公开时间相吻\r\n合），并且在其相关资料被曝光后直至2018年末，依然维持着部分攻击活动，目标可能涉及国内的航空\r\n行业。\r\n本报告是结合对具体网络武器样本的技术分析，并与公开情报中的相关资料和代号相对应起来。\r\n网络武器\r\nAthena（雅典娜）项目\r\n简介\r\nAthena（雅典娜）项目是维基解密于2017年5月19日披露的，其用于在Windows系统（从XP到Windows\r\n10）上提供远程信标（beacon）和程序加载的木马程序，从其功能介绍也可以推断出其更可能用于获取到\r\n攻击立足时，向目标主机植入的攻击模块，并用于加载和执行下阶段载荷。Athena是由CIA与美国本土的\r\nSiege Technologies公司合作开发的（后者于2016年被Nehemiah Security收购）。\r\n我们找到了和Athena相关的样本文件，并且发现其就是卡巴斯基报告中提及的Black Lambert。\r\nLoader模块\r\n这里对样本进行分析，该样本也在卡巴报告中的Black Lambert中所提及，该样本曾出现在利用Windows\r\n字体0day漏洞CVE-2014-4148的攻击事件中。可以看到其导出函数并不是正常的字母名字，而是一个数字\r\n编号。我们也发现这一特征在多种攻击样本中出现，这也符合Vault7相关泄露资料中，其关于相关攻击代\r\n码的开发的约定策略。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 1 of 40\n\n样本运行之后首先会检测一些windows中的指定进程是否存在（可以看到这些都是一些比较少见的\r\nwindows相关进程），如果存在则获取对应的processid，否则获取当前进程的processid，用于之后的注\r\n入。\r\n其从样本指定偏移的位置读取payload，这个字段的偏移通过遍历节表，找到正常节代码最后的部分，该\r\n部分是一个去掉头的payload，获取到对应的位置后，读取其中的内容并修复对应的pe头，并且加载执\r\n行。\r\nPayload模块\r\nLoader模块释放的pe文件如下所示，从该后门的函数量可以看出这是一个功能复杂的攻击模块，其入口函\r\n数为winlib_1。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 2 of 40\n\n其实现了非常丰富的控制指令，其中也包括一些特殊功能，如：\r\n支持GUI程序的后台点击；\r\n支持作为隧道转发工具；\r\n使用共享命名管道实施横向移动和模块执行。\r\n字符串解密算法\r\n该后门对其中使用的字符串都进行了加密，每一个加密的字符串实际上是以下的格式保存的，即前四个\r\n字节保存了加密字符中block的个数，通过xor key保存，每个block 4个字节，通过do，while循环中的算法\r\n解密。\r\n控制指令\r\n控制指令相关同样是加密存放，下面对解密后的部分重要指令进行说明：\r\n指令 功能\r\ncmd_at 该指令用于计划任务相关的设置。\r\ncmd_idlewatch 该指令主要通过GetLastInputInfo监控机器设备的活动情况\r\ncmd_wincontrol\r\n通过postMessage向指定gui发送消息，结合SendInput鼠标左键的操作，再配合一开\r\n始设置的隐藏桌面，以实现对用户机器上任意GUI应用的控制。\r\ncmd_catInstall\r\n该指令主要通过DCOM loader设置IPC$,ADMIN$共享的方式以实现在局域网的传\r\n播。\r\n其中cmd_catInstall通过共享的方式传播下发后续的载荷，代码下发之后删除该共享，所以这里其实需要攻\r\n击者获取到相关设备的访问凭据，否则无法设置对应的共享。\r\n关联和归属\r\n从下图可以看到Payload模块实现的指令几乎涵盖了维基解密泄露的Athena项目文档中所提及的所有相关\r\n控制指令。这也是我们将Black Lambert和Athena项目相关联的原因。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 3 of 40\n\n下阶段植入物\r\n下阶段植入物是由Payload模块通过IPC$共享方式下发和执行的，并且在分析过程中，我们确实找到了相\r\n关的佐证依据。\r\n下阶段植入物为一个dll模块，其落地文件名可能以随机字符串文件名或伪装成网络协议相关，如\r\nWinhttp32，winDNS，winftp32，winrdp64等。其启动主要通过两种方式：一是通过远程IPC管道利用\r\nregsvr32注册安装，二是首次在目标机器安装后，后续以服务形态执行和持久性维持。结合其启动方式特\r\n点，推测该模块主要用于内网横向移动阶段，并维持持久性。\r\n这里我们以模块名为winhttp32.dll为例分析，其主要通过服务的方式启动：\r\n将自身注册为NativeService的服务。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 4 of 40\n\n其通过命名管道的方式，和自身拷贝的子进程进行通信。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 5 of 40\n\n其实现了包括可以注入代码到进程，获取系统版本信息以及执行代码的三种功能。\r\n关联和归属\r\n在分析过程中，我们发现下阶段植入物用于运行不止一种载荷类型，其中常见的为分发运行Fluxwire\r\nNode模块，以及另外一种未知的执行模块。\r\nFluxwire Node\r\n简介\r\nFluxwire是CIA为了实现mesh networking而创建的项目，在泄露的文档中包括了一份关于Fluxwire的Linux\r\n版本控制端的介绍和使用手册：\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 6 of 40\n\n通过手册内容，可以看到整个fluxwire是支持多个平台，覆盖了window，linux，mac os等，且支持多个指\r\n令集的平台。\r\n从文档中可以看到fluxwire一直到2015年11月都还在更新，遗憾的是整个fluxwire的文档主要在说明相关的\r\n攻击端使用，对用于失陷机器上植入的木马的设计并未详细介绍，只是说明其植入的模块称为Node。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 7 of 40\n\nNode模块\r\n如下所示可以看到其依赖于两个参数，这两个参数为命令行中的argc，argv。Node模块启动时确实会传入\r\n一个文件路径参数，并通常伪装成数据文件，结合Node模块的功能分析，我们推测该数据文件才是具体\r\n的功能核心实现。\r\n进入fun_Entry，首先判断参数是否为2，即是否传入了路径参数，之后读取参数路径文件中的内容，并搜\r\n索指定偏移的位置，根据该偏移进行后续的解密及倒入表的修复。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 8 of 40\n\n寻找偏移的算法如下，找到0x4286A1F5，且其后0x2c为0xF3D781AF的地址。\r\n之后调用后续的模块，由于传入的文件无法获取，因此不知道攻击的后续。\r\n在分析中，我们发现Node模块通常伪装成Netmeet.exe，而Netmeet是微软在Win95到WinXP内置的VoIP程\r\n序，Vista以后被移除。这也许就是在后续的失陷机器上我们没有找到对应伪装成netmeet载荷的原因之\r\n一。\r\n关联和归属\r\n在分析的样本中包含了一个PDB路径未被移除。\r\nc:\\users\\bot\\fluxwire-cmake\\delta\\mswin-x86\\build\\base\\cmake\\ddk_node\\objfre_wxp_x86\\i386\\node.pdb\r\n其中的pdb路径包含了fluxwire和node的关键词。我们直接google相关关键词，可以找到泄露的fluxwire相\r\n关文档时间是在2015年11月，而我们看到的包含了pdb的文件却是在2015年3月进行的攻击，因此存在嫁\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 9 of 40\n\n祸的可能性较小。\r\n结合文档中对Node启动方式的介绍：\r\n从文档中我们可以得知其Node程序在Windows下会以cmd.exe或者CreateProcess两种方式启动。在分析过\r\n程中我们确实找到了两种启动方式的证据，而后一种启动为则是通过winhttp32模块启动后通过命名管道\r\n执行的。\r\n另一种横向移动模块\r\n在分析中，我们找到了另一个直接通过winhttp32模块启动的载荷，但代码实现和fluxware node不同。\r\n其主函数很简单，就是一个简单的loader。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 10 of 40\n\n首先通过动态获取函数地址的方式，获取到socket相关的函数，之后通过xor 0x7F的方式解密的对应的\r\ncc。通过解密我们发现cc只是一个内网地址，因此基本可以确定，该模块是用于攻击者已经控制了内网中\r\n的一台主机，并将其转化为了对应的cc节点。\r\n下载cc下发的模块，经过处理后设置内存页属性，并启动。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 11 of 40\n\n我们在研究Fluxwire使用手册时，其确实是支持在内网下做更多模块下发，并且有的还支持命名管道的通\r\n信方式。由于缺乏必要的证据链，我们暂时无法猜测该模块和Node的更多关联性。\r\nGray Lambert\r\n我们找到了几个样本和卡巴报告中的Gray Lambert相似，由于暂未和CIA已知项目联系起来，所以这里延\r\n续卡巴的命名。\r\nLoader模块\r\npoolstr.dll是一个服务启动的dll，其可以由winhttp32模块启动。\r\n其首先会读取资源，并解密。原始资源和解密后的字符串如下。\r\n通过访问注册表的SYSTEM\\CurrentControlSet\\Services，这里应该是利用的lanmanserver，并写入\r\nParameters下的ServiceDll。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 12 of 40\n\n接下来动态获取文件相关API，分配内存，并创建线程\r\n从上述来看该dll应该是主要维持持久化的。\r\n另一个Loader模块\r\nmsapi32.dll同样是一个服务dll。其有两个资源文件：\r\n在线程中首先解密两个资源，1024资源是解密释放文件的路径：\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 13 of 40\n\n然后从1023资源解密tlb文件，并写入目标路径，最后将其运行。\r\n我们在一个主机上看到poolstr.dll和msapi32.dll几乎同时存在，我们推测poolstr是用来持久化运行\r\nmsapi32.dll的。\r\nPayload模块\r\nmwapi32是一个网络流量监控和过滤模块，是由msapi32.dll从资源释放加载。\r\n其首先尝试通过驱动获取过滤的流量。该dll会从下图的注册表项获取Description值，其中存储的是驱动注\r\n册的文件名，从而实现和驱动的通信。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 14 of 40\n\n若不存在对应驱动，那么其采用Windows的ETW机制来实现网络流量的过滤。其会启动ndiscap服务。\r\n接着通过etw机制对网络日志进行监控。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 15 of 40\n\n其注册的监控session名为“K432ISD”加上一个UUID字符串。\r\nWhite Lambert\r\n在分析过程中，我们发现了多个样本与卡巴披露的White Lambert类似，其包含一个用户态dll和NDIS过滤\r\n驱动。\r\n用户态模块\r\n该样本为一个dll，其导出函数如下所示，其主要功能在DllMain中，该样本最终加载一个驱动。可以看到\r\n部分导出名同样以数字序号的形式存在。\r\nDllMain中开启新线程以执行主要的功能。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 16 of 40\n\n样本中的主要字符串经过加密，加密算法如下，前四字节中保存了xor 后的长度，之后按4字节一个block\r\n的模式进行解密。\r\n之后从中解密出两个驱动，并分别加载，其中驱动的加密方式和字符串一致，并通过\r\nRtlDecompressBufferat解压缩，相关驱动的信息保存到一段名为var_Driverinfo的内存中，其中第一个加载\r\n的驱动应该是一个测试驱动，第二个驱动才是真正的恶意代码。\r\nvar_Driverinfo格式如下所示\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 17 of 40\n\n之后设置对应的服务注册表，并通过函数NtLoadDriver将对应的驱动加载运行起来。\r\n可以看到第一个驱动为speedfan.sys，第二个驱动为UNC.sys。\r\n可以看到speedfan实际上是一款系统监控相关的软件。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 18 of 40\n\nSpeedfan.sys入口如下，简单创建了一下设备及对应的设备链接，对应的MajorFuncton中的dispatch函数也\r\n只是针对系统层的调用返回一些参数，因此这个地方猜测其作用应该是作为第一个驱动先加载，以确保\r\n其能正确加载起来，再加载之后的恶意驱动。\r\n恶意驱动如下所示，加载之后首先同样是通过和之前一致的算法在配合RtlDecompressBufferat解压出最终\r\n的驱动，并寻址到入口并调用。\r\n驱动模块\r\n这个驱动似乎并不能通过osr driver loader的方式进行加载，因此推测其应该有自己实现的加载器。\r\n这个驱动本身是一个加载器，解密出的内容是一个pe文件，其同样是个驱动。\r\n后续解密的驱动是一个通过ndis流量过滤的rookit，通过过滤指定的cc流量以实现具体的功能，函数首先\r\n通过fun_Searchndissys确保系统中存在ndis.sys驱动，之后在函数fun_NdisRegisterProtocol中通过ndis注册了\r\n一个自有的协议，通过这个的回调来过滤对应网卡中的流量数据。\r\n如下所示，fun_NdisRegisterProtocol中实际调用的是NdisRegisterProtocol，该函数用于注册一个自有的协\r\n议，其中的第三个参数中包含了对应的协议回调函数，这里奇怪的是这些回调函数似乎都没有实现，其\r\n中包含最终重要的ReceiveHandler（表示网卡收到数据时，会把对应的流量传入到该回调函数中），这里\r\n需要注意的是，攻击者注册的自有协议名为“KAPERSKY”与卡巴斯基名称kaspersky仅一字之差。这个函\r\n数最后将NdisRegisterProtocol注册成功之后的ndis句柄给返回了。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 19 of 40\n\n前面说到自有协议在实现的时候并没有设置回调函数，但是事实上并非如此，通过返回的ndis句柄直接在\r\n内存中搜索对应的TCPIP字段，然后将其中的内存地址替换成具体的函数，这里猜测，应该是通过ndis句\r\n柄的方式搜索回调函数在内存中的位置，并手动替换（因为驱动本身是在内核中，因此是可以通过一个\r\n句柄搜索到具体的回调对象中函数指针的位置的）。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 20 of 40\n\n通过流量过滤出攻击这个特殊流量，解析之后通过va_Dispitchtable调用指定的处理函数，如下所示可以看\r\n到THIS_IS_OUR_EOF，这句话的意思就是“这是我们的流量”\r\n整个样本支持的功能如下所示：\r\n指令 含义\r\nCopy 拷贝文件\r\nMove 移动文件\r\nRename 修改文件名\r\nInfo 获取系统信息\r\nExit 设置退出标记\r\nClose 同上\r\nQuit 同上\r\nUninstall 卸载该驱动\r\nNdisls 列举自有协议信息\r\nDir 列目录\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 21 of 40\n\nLs 同上\r\nPwd 获取当前目录\r\nCd 切换目录\r\ntouch 创建文件\r\ndel 删除文件\r\nrm 同上\r\nRmdir 删除目录\r\nMkdir 创建目录\r\nCat 查看文件\r\nType 同上\r\nview 同上\r\nPs 列举进程\r\nlsmod 加载驱动\r\nKill 关闭进程\r\nFexec 文件执行\r\nbexec 脚本执行\r\nClose 文件句柄关闭\r\nof 打开文件\r\ncf 关闭文件句柄\r\nrf 读文件\r\nwf 写文件\r\nBackdoor.Trojan.LH1\r\n我们结合Twitter上一条相关推文进行扩展。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 22 of 40\n\n根据该推文的线索进行拓展，我们发现其中一个样本被检出为LH1，即为赛门铁克报告中提到的一类后\r\n门。\r\n其注册为BiosSrv服务运行。\r\n主体逻辑通过创建线程执行，并且随机休眠一段时间。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 23 of 40\n\n其首先从资源当中提取C2和PFX证书信息，其中101为PFX证书，102为域名。\r\nPFX证书导出key为空，通过“openssl pkcs12 -in 1.pfx -out 1.key”命令导出其中的证书和私钥信息。\r\n然后获取主机信息，包括Mac地址，计算机名，以及当前用户。\r\n创建注册表SOFTWARE\\\\BiosInnovations，生成用户UUID，该UUID会作为标识并用于后续HTTPS通信头\r\n部的X-MV-Host字段。\r\n该模块与远程服务器域名进行HTTPS通信，并接收如下指令：\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 24 of 40\n\n控制命令 功能描述\r\n初始行为，获取指令\r\nget-scanner 获取扫描模块\r\nrun-scanner 运行扫描模块，并回传扫描结果\r\n回传扫描结果\r\nexfil-file 压缩并回传文件\r\n上传文件\r\ndestroy-agent 销毁\r\nGreen Lambert\r\nGreen Lambert为可执行文件，并且与LP（Listening Post）通信。其也是唯一一个目前发现同时存在\r\nWindows版本和Mac版本的项目。\r\nWindows版本\r\n该样本为一个exe，通过分析之后发现这个样本的主要功能用于和远端的LP进行连接设置，同时具备浏览\r\n器相关凭据窃取及模块加载的功能。\r\n代码的入口如下所示，首先通过函数fun_Init进行初始化，之后创建一个服务运行之后的主流程，服务名\r\n为smcsrv。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 25 of 40\n\n该样本中fun_init的操作中做了很多有意思的操作。\r\n首先在fun_getallstr中一次解密出大量之后使用的字符串。\r\n之后在fun_Getconf中解密出对应的配置文件，其中可以看到远端的LP配置。\r\n在fun_InitfunBlock中按功能函数地址+功能字符的格式将对应的功能函数保存到一块内存中，如下所示可\r\n以看到其主要功能是设置对应的LP及简单的模块装载功能，其实现的指令集比Black Lambert少一些。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 26 of 40\n\n和LP通信，首次连接主要通过.login.php及getconf.php做登陆及配置文件更新的操作。\r\n通过getfile.php下载后续攻击代码。\r\n通过upload2.php上传相关数据。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 27 of 40\n\n同时该样本通过访问signons.sqlite文件获取firefox相关的凭据，需要注意的是firefox从2017年之后就将相关\r\n的文件由signons.sqlite变成logins.json。\r\n通过pstorec.dll的PStoreCreateInstance函数来提取IE凭证信息。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 28 of 40\n\n使用guid “abe2869f-9b47-4cd9-a358-c22904dba7f7”解密保存的IE密码。\r\n如下所示可以看到该样本中生成的函数结构体和Black Lambert也是完全一致的。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 29 of 40\n\n早期版本\r\n我们还发现一个dll版本，其中的配置文件没有加密，猜测是早期的版本。\r\n提取所有Windows版本的Green Lambert如下所示，第一列为配置文件中提取的样本id，其中红色的版本在\r\n卡巴的文章中出现过，而其他的版本则是之前未知的，这里猜测其每一个样本在攻击的行动中设定了特\r\n定的代号。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 30 of 40\n\nMac OSX版本\r\nGreen Lambert存在一个Mac OSX版本。\r\n其导出表中可以看出存在诸多初始化执行的方法，其会在main函数前执行。其主要用于初始化一些功能\r\n函数指针和参数。\r\n例如这里将对应的函数指针添加到一个链表中，保存在全局的指针中。\r\n可以看到这里有个版本号信息\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 31 of 40\n\n这里对20个InitFunc的接口功能进行总结：\r\n函数名 功能\r\nInitFunc_0 获取版本信息\r\nInitFunc_1 通过/etc/init.d和/etc/rc.d写入ConfigInitdFile维持持久化\r\nInitFunc_2 通过写入多种shell的配置文件维持持久化\r\nInitFunc_3 通过写入XSession相关配置文件维持持久化\r\nInitFunc_4 从代理URL中解析网络代理\r\nInitFunc_5 URL相关解析\r\nInitFunc_6 常量赋值\r\nInitFunc_7 生成UUID\r\nInitFunc_8 从系统环境变量获取代理配置\r\nInitFunc_9 HTTP通信函数初始化\r\nInitFunc_10 HTTP通信接口函数\r\nInitFunc_11 HTTP代理函数初始化\r\nInitFunc_12 本地环回接口处理\r\nInitFunc_13 TCP通信函数初始化\r\nInitFunc_14 密钥链访问，实现HTTP协议的登录访问\r\nInitFunc_15 API获取系统代理配置\r\nInitFunc_16 使用LoginItem维持持久化\r\nInitFunc_17 使用StartupItems维持持久化\r\nInitFunc_18 使用LaunchAgent维持持久化\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 32 of 40\n\nInitFunc_19 获取home路径下配置文件获取代理配置\r\nInitFunc_20 SSL通信函数初始化\r\nmain函数中会解析传入的启动参数：\r\n字符串解密算法\r\n样本中所有字符串均被加密：\r\n其中第一个字符通常为0，第二个字符为待解密字符串长度，第三和第四字符计算成xor key，从第五个字\r\n符起为加密字符串。\r\n关联和归属\r\nGreen Lambert的Windows和Mac OS版本使用了几乎完全一样的字符串解密函数版本。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 33 of 40\n\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 34 of 40\n\n而Windows版本中解密的配置脚本的id字段和卡巴斯基文章提到的是一致的，因此确定这一系列的样本为\r\nGreen Lambert。\r\n其他\r\n在分析中，我们还发现一些与CIA网络武器相关的样本文件，但暂时未发现其与上述网络武器之前的相互\r\n关系。\r\nStolen Goods\r\n简介\r\nStolen Goods是CIA用来实现持久性的一个项目，其用于持久化Grasshopper安装器和Shellterm的shellcode注\r\n入程序。其涉及的一些文件如下，我们找到了其中一个内存加载模块的样本。\r\n内存加载模块\r\n从Stolen Goods文档中发现有个样本命中。从文档上得知其应该是内存加载器。其首先动态获取底层文件\r\n读写API：\r\n然后物理读写文件\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 35 of 40\n\n读取文件后，计算其sha256值\r\n将生成的sha256格式化为以下字符串的驱动路径，然后和其通信。\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 36 of 40\n\n然后从自身文件句柄中查找843和304号资源，并解密。但在这个dll中并未看到对应的资源文件。\r\n最后将其加载到内存中。\r\n控制基础设施\r\n从维基解密披露文档我们得知CIA用于控制基础设施部署的项目名为HIVE，其由EDB部门所开发。下图\r\n是我们根据泄露的HIVE资料对其内部说明设计图进行了部分备注。\r\nHIVE分为3个部分，implant，LP和CC。\r\n其中Blot为隐藏的服务器。Honeycomb是植入物的行动管理网关。\r\n其通信逻辑为：\r\n1.选择一个看似正常的域名（cover domain）和商用VPS服务，其上安装组件。VPS服务器连接Blot；\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 37 of 40\n\n2. 正常用户访问时，由于开启了可选验证标记（其利用了一个特殊的HTTPS服务选项“Optional Client\r\nAuthentication”），则不验证并定向到Cover Server；\r\n3. 植入物访问时，会访问Honeycomb。\r\n在实际的分析中，我们在LH1和Green Lambert中确实发现了implant中存在和LP通信的证据，并且在LH1\r\n中还利用了证书pinning来实现和远程的HTTPS通信。\r\n我们对LH1中涉及的域名进行历史注册情况查询，可以发现该域名在2014年7月被注销，推测是否和相关\r\n活动被曝光有关：\r\n攻击链\r\n我们结合上述分析按照攻击链绘制了相关网络武器的利用过程和关系，并对其TTP进行横向对比。\r\nExecution\r\nCredential\r\nAccess\r\nLateral\r\nMovement\r\nPersistence Exfiltrate/Monitor\r\nCommand\r\nand Control\r\nEvasion\r\nAthena\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 38 of 40\n\n(Black\r\nLambert)\r\nY Y Y\r\nFluxwire\r\nNode\r\nY Y\r\nGray\r\nLambert\r\nY Y Y\r\nWhite\r\nLambert\r\nY Y\r\nLH1 Y Y Y\r\nGreen\r\nLambert\r\nY Y Y Y Y\r\nStolen\r\nGoods\r\nY Y\r\n总结\r\n奇安信威胁情报中心红雨滴团队对CIA网络武器库中相关Implant进行了复盘分析，并基于公开报告和内部\r\n威胁情报数据对其进行了分类和攻击链的还原尝试。虽然部分环节依旧存在证据缺失，但我们基本可以\r\n结合具体样本和公开泄露资料对CIA网络攻击活动进行更加深入的认识，并找到其留下的痕迹和模式。\r\n如有更多技术细节可以联系奇安信威胁情报中心红雨滴团队。\r\n参考链接\r\n1.https://www.symantec.com/connect/blogs/longhorn-tools-used-cyberespionage-group-linked-vault-7\r\n2.https://securelist.com/unraveling-the-lamberts-toolkit/77990/\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 39 of 40\n\n3.https://www.forbes.com/sites/thomasbrewster/2018/03/09/cia-russian-hackers-on-same-china-server-says-kaspersky/#304658659a30\r\n4.https://wikileaks.org/vault7/\r\n5.https://wikileaks.org/ciav7p1/\r\nSource: https://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nhttps://ti.qianxin.com/blog/articles/network-weapons-of-cia/\r\nPage 40 of 40",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://ti.qianxin.com/blog/articles/network-weapons-of-cia/"
	],
	"report_names": [
		"network-weapons-of-cia"
	],
	"threat_actors": [
		{
			"id": "e993faab-f941-4561-bd87-7c33d609a4fc",
			"created_at": "2022-10-25T16:07:23.460301Z",
			"updated_at": "2026-04-10T02:00:04.617715Z",
			"deleted_at": null,
			"main_name": "Longhorn",
			"aliases": [
				"APT-C-39",
				"Platinum Terminal",
				"The Lamberts"
			],
			"source_name": "ETDA:Longhorn",
			"tools": [
				"Black Lambert",
				"Blue Lambert",
				"Corentry",
				"Cyan Lambert",
				"Fluxwire",
				"Gray Lambert",
				"Green Lambert",
				"Magenta Lambert",
				"Pink Lambert",
				"Plexor",
				"Purple Lambert",
				"Silver Lambert",
				"Violet Lambert",
				"White Lambert"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "70db80bd-31b7-4581-accb-914cd8252913",
			"created_at": "2023-01-06T13:46:38.57727Z",
			"updated_at": "2026-04-10T02:00:03.028845Z",
			"deleted_at": null,
			"main_name": "Longhorn",
			"aliases": [
				"the Lamberts",
				"APT-C-39",
				"PLATINUM TERMINAL"
			],
			"source_name": "MISPGALAXY:Longhorn",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "23dfc9f5-1862-4510-a6ae-53d8e51f17b1",
			"created_at": "2024-05-01T02:03:08.146025Z",
			"updated_at": "2026-04-10T02:00:03.67072Z",
			"deleted_at": null,
			"main_name": "PLATINUM TERMINAL",
			"aliases": [
				"APT-C-39 ",
				"Longhorn ",
				"The Lamberts ",
				"Vault7 "
			],
			"source_name": "Secureworks:PLATINUM TERMINAL",
			"tools": [
				"AfterMidnight",
				"Assassin",
				"Marble Framework"
			],
			"source_id": "Secureworks",
			"reports": null
		}
	],
	"ts_created_at": 1775434414,
	"ts_updated_at": 1775791877,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/2f7c7eb8a449302be0d4beb6f2e49a02c5428e40.pdf",
		"text": "https://archive.orkl.eu/2f7c7eb8a449302be0d4beb6f2e49a02c5428e40.txt",
		"img": "https://archive.orkl.eu/2f7c7eb8a449302be0d4beb6f2e49a02c5428e40.jpg"
	}
}