维基解密公开CIA机密文档追踪工具Scribbles源码(别名为“Snowden Stopper”)

华盟学院山东省第二期线下学习计划

既今年三月初开始,维基解密披露了一系列CIA Vault7 文档。4月28日维基解密再度公开了该系列中名为 Scribbles 的相关文件及其源代码。Scribbles ,别名为“ Snowden Stopper ”(斯诺登终结者…),是一款将“web beacon”标签加入机密文件中,用以追踪告密者及国外间谍的软件。

最新版本的 Scribbles (v1.0 RC1)是在2016年3月1日发布的,CIA 将其文件标记为机密等级并保持机密性至2066年。至少在去年的2016年年内,CIA 在使用 Scibbles 工具进行文件监控,监控组织内部揭发者或外部间谍。

屏幕快照 2017-05-02 下午2.07.40.png

Scribbles 运作原理

维基解密披露的一份文件中表示,

 Scribbles 是一个“文档水印预处理系统”,用于将“ Web beacon ”标签插入到可能被内部人员,举报人,记者或其他人员复制的文档中。

这个软件由 C# 语言写成,会生成随机水印,然后插入到文档中。

(S//OC/NF)Scribbles(SCRIB)是一个文件水印工具,可用于批量处理预先放置在输入目录中的多个文档。它为每个文档生成随机水印,将该水印插入到文档中,并将所有这样处理的文档保存在输出目录中,然后创建一个日志文件,该文件标识插入到每个文档中的水印。——Scribbles 用户指南

pic

每个用户打开这个被处理过的文档后,程序会在后台载入一个嵌入的文档并在 CIA 跟踪服务器上创建一条记录。这条纪录会与读取的文档关联,内容包括用户的身份,阅读文档的时间和 IP 地址。通过这样的方式,CIA 可以监控文档的阅读权限。
这样的工作原理和“ tracking pixel ”的运作原理一致:通过在邮件中嵌入像素大小的图片,实现帮助市场营销者或企业负责人跟踪阅读营销广告的用户数量。

仅针对微软Office系列文档

对CIA探员而言,Scribble的不足在于仅支持微软Office系列文档。根据用户手册中所描述的,CIA的此款工具是为微软Office文档的离线预处理开发的,这也就是说,如果这个被处理后的文档是通过其他应用程序打开,如 OpenOffice 或 LibreOffice ,用户可能是可以看到加入的水印或 Url 。

Scribbles文档水印工具可以在微软Office2013(Win8.1 x64)、Office97-2016的文档中正常使用,而如果是Office 95文档或处于锁定/加密/密码保护状态的文档,该工具则将无法正常处理。

此工具的另一个缺陷在于,它的文件水印是从远程服务器上载入的。因此,只有当用户浏览文件时是处于在线状态时,此工具才能发挥作用。

维基解密披露文件

以下是维基解密披露的最新一批文件,按照披露时间和组织的顺序排列:

  • Year Zero:应对软硬件入侵的CIA Exploit
  • Dark Matter:iPhone和Mac的入侵 Exploit
  • Marble:混淆网络攻击的一款框架
  • Grasshopper:为Windows系统构建定制化恶意软件的平台

查看Scribbles文档

www.idc126.com

* 参考来源:securityaffairsthehackernews,本文作者Elaine,转载请注明来自FreeBuf.com

本文由 华盟网 作者:小龙 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论