维基解密公开CIA机密文档追踪工具Scribbles源码(别名为“Snowden Stopper”)
作者:admin | 时间:2017-5-4 02:44:19 | 分类:黑客工具 隐藏侧边栏展开侧边栏
既今年三月初开始,维基解密披露了一系列CIA Vault7 文档。4月28日维基解密再度公开了该系列中名为 Scribbles 的相关文件及其源代码。Scribbles ,别名为“ Snowden Stopper ”(斯诺登终结者…),是一款将“web beacon”标签加入机密文件中,用以追踪告密者及国外间谍的软件。
最新版本的 Scribbles (v1.0 RC1)是在2016年3月1日发布的,CIA 将其文件标记为机密等级并保持机密性至2066年。至少在去年的2016年年内,CIA 在使用 Scibbles 工具进行文件监控,监控组织内部揭发者或外部间谍。
Scribbles 运作原理
维基解密披露的一份文件中表示,
Scribbles 是一个“文档水印预处理系统”,用于将“ Web beacon ”标签插入到可能被内部人员,举报人,记者或其他人员复制的文档中。
这个软件由 C# 语言写成,会生成随机水印,然后插入到文档中。
(S//OC/NF)Scribbles(SCRIB)是一个文件水印工具,可用于批量处理预先放置在输入目录中的多个文档。它为每个文档生成随机水印,将该水印插入到文档中,并将所有这样处理的文档保存在输出目录中,然后创建一个日志文件,该文件标识插入到每个文档中的水印。——Scribbles 用户指南
每个用户打开这个被处理过的文档后,程序会在后台载入一个嵌入的文档并在 CIA 跟踪服务器上创建一条记录。这条纪录会与读取的文档关联,内容包括用户的身份,阅读文档的时间和 IP 地址。通过这样的方式,CIA 可以监控文档的阅读权限。
这样的工作原理和“ tracking pixel ”的运作原理一致:通过在邮件中嵌入像素大小的图片,实现帮助市场营销者或企业负责人跟踪阅读营销广告的用户数量。
仅针对微软Office系列文档
对CIA探员而言,Scribble的不足在于仅支持微软Office系列文档。根据用户手册中所描述的,CIA的此款工具是为微软Office文档的离线预处理开发的,这也就是说,如果这个被处理后的文档是通过其他应用程序打开,如 OpenOffice 或 LibreOffice ,用户可能是可以看到加入的水印或 Url 。
Scribbles文档水印工具可以在微软Office2013(Win8.1 x64)、Office97-2016的文档中正常使用,而如果是Office 95文档或处于锁定/加密/密码保护状态的文档,该工具则将无法正常处理。
此工具的另一个缺陷在于,它的文件水印是从远程服务器上载入的。因此,只有当用户浏览文件时是处于在线状态时,此工具才能发挥作用。
维基解密披露文件
以下是维基解密披露的最新一批文件,按照披露时间和组织的顺序排列:
- Year Zero:应对软硬件入侵的CIA Exploit
- Dark Matter:iPhone和Mac的入侵 Exploit
- Marble:混淆网络攻击的一款框架
- Grasshopper:为Windows系统构建定制化恶意软件的平台
* 参考来源:securityaffairs,thehackernews,本文作者Elaine