Análisis de malware

Fuga de datos de Vault 7: análisis de los archivos de la CIA

julio por Admin

Excavando los vertederos del Refugio 7

En una primera entrada sobre el volcado de Vault7 , analizamos la información contenida en archivos filtrados por Wikileaks y supuestamente provenientes de una red de la Agencia Central de Inteligencia (CIA) estadounidense.

En ese momento, analizamos los siguientes proyectos de la CIA:

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

A continuación la lista de documentos publicados por Wikileaks desde marzo:

Sigamos adelante con los proyectos restantes comenzando con el proyecto AfterMidnight .

Después de medianoche – 12 de mayo de

El 12 de mayo, WikiLeaks publicó la documentación relacionada con dos plataformas de malware con nombre en código AfterMidnight y Assassin diseñadas por la CIA para crear malware personalizado para sistemas Windows.

Tanto la plataforma AfterMidnight como la Assassin implementan funciones clásicas de puerta trasera que permitieron a la CIA tomar el control de los sistemas objetivo.

El marco de malware AfterMidnight permite a los operadores de la CIA cargar y ejecutar dinámicamente cargas útiles maliciosas en un sistema de destino.

La carga útil principal está disfrazada como un archivo de biblioteca de vínculos dinámicos (DLL) de Windows autopersistente y ejecuta pequeñas cargas útiles denominadas «Gremlins» que pueden subvertir la funcionalidad del software objetivo, recopilar información del objetivo o proporcionar servicios para otros gremlins.

«‘Gremlin’ es el término para una carga útil AM que debe ejecutarse oculta en el objetivo y:

1: Documentación de AfterMidnight filtrada por Wikileaks

AfterMidnight aprovecha un sistema de publicación de escucha (LP) basado en HTTPS llamado «Octopus» para verificar si hay eventos programados; cada vez que se crea uno nuevo, el marco de malware descarga y almacena todos los componentes necesarios antes de cargar todos los gremlins nuevos en la memoria.

Los documentos incluyen la guía de usuario de AfterMidnight , debajo de la descripción proporcionada por el manual de la plataforma de malware:

«AfterMidnight es una DLL que persiste automáticamente como una DLL de servicio de Windows y proporciona una ejecución segura de «Gremlins» a través de un LP basado en HTTPS. Una vez instalado en una máquina de destino, AM volverá a llamar a un LP configurado en un horario configurable, verificando para ver si hay un nuevo plan para ejecutar», se lee en la guía. «Si lo hay, descarga y almacena todos los componentes necesarios antes de cargar todos los gremlins nuevos en la memoria. Todo el almacenamiento local está cifrado con una clave «LP» que no está almacenada en el cliente. Si AM no puede comunicarse con el LP, lo hará. no podrá ejecutar ninguna carga útil».

El almacenamiento local utilizado por AfterMidnight está cifrado con una clave que no está almacenada en la máquina de destino.

Los operadores de la CIA pueden programar una tarea personalizada utilizando un lenguaje de script personalizado incluido en un módulo especial «AlphaGremlin».

El manual de AfterMidnight también incluye dos ejemplos de cómo utilizar el malware creado por la plataforma. Un ejemplo muestra cómo crear un código malicioso que impide al usuario utilizar su navegador para obligarlo a pasar más tiempo en sus aplicaciones de trabajo y permite a los agentes de la CIA recopilar más datos. El ejemplo incluye ejemplos de configuraciones que eliminarán todos los ejecutables de Internet Explorer y Firefox cada 30 segundos.

El segundo ejemplo muestra cómo crear una muestra de AfterMidnight para «molestar al […] objetivo cada vez que usa PowerPoint (porque, acéptalo, se lo merece por usar PP)».

La plataforma de malware Assassin es similar a AfterMidnight y permite a los operadores de la CIA controlar los sistemas de destino.

«»Assassin» es un tipo similar de malware; es un implante automatizado que proporciona una plataforma de recolección simple en computadoras remotas que ejecutan el sistema operativo Microsoft Windows. Una vez que la herramienta está instalada en el objetivo, el implante se ejecuta dentro de un proceso de servicio de Windows. «Assassin» (al igual que «AfterMidnight») se dirigirá periódicamente a sus puestos de escucha configurados para solicitar tareas y entregar resultados», afirma WikiLeaks. «La comunicación se produce a través de uno o más protocolos de transporte configurados antes o durante el despliegue. Los subsistemas «Assassin» C2 (Comando y Control) y LP (Puesto de Escucha) se denominan colectivamente «The Gibson» y permiten a los operadores realizar tareas específicas en un objetivo infectado.»

La herramienta ejecuta el implante dentro de un proceso de servicio de Windows, operaba como una plataforma de recolección en computadoras remotas para PC con Windows.

La guía del usuario describe los cuatro componentes del marco de malware Assassin.

Atenas – 19 de mayo de

Un par de semanas después, Wikileaks publicó un nuevo lote de documentos del volcado de CIA Vault 7 relacionados con un marco de software espía denominado Athena/Hera. Los documentos afirman que la inteligencia estadounidense utilizó el malware Athena/Hera para tomar control remoto de las máquinas Windows infectadas.

El volcado incluye un manual de usuario para la plataforma Athena, una descripción general de la tecnología y una demostración sobre cómo utilizar el malware.

Los operadores de la CIA han desarrollado dos programas espía para espiar sistemas Windows, Athena , para máquinas que ejecutan el sistema operativo XP hasta Windows 10, y Hera, que funciona desde Windows 8 hasta Windows 10.

«El sistema Athena satisface la necesidad de COG/NOD de una baliza/cargador remoto. La Tabla 2 muestra los componentes del sistema disponibles en Athena/Hera v1.0. Los sistemas operativos de la computadora de destino son Windows XP Pro SP3 de 32 bits (solo Athena), Windows 7 de 32 bits/64 bits, Windows 8.1 de 32 bits/64 bits, Windows Enterprise Server, Windows Server y Windows 10.» lee la descripción general del sistema incluida en la guía del usuario . «Ubuntu v14.04 es la versión validada de Linux. Apache 2.4 es el servidor web validado para Listening Post».

El software espía Athena fue escrito en Python, parece que data de agosto de; si se confirma, es una noticia preocupante porque Microsoft lanzó Windows 10 en julio de.

Athena fue desarrollado por expertos de la CIA en un esfuerzo conjunto con codificadores de malware de la empresa de seguridad cibernética Siege Technologies, especializada en seguridad cibernética ofensiva.

«Athena es un cargador de balizas desarrollado con Siege Technologies. En esencia, es una aplicación de implante muy simple. Se ejecuta en el espacio del usuario y balizas desde el proceso srvhost. El siguiente diagrama muestra el concepto de operación». afirma la descripción general de la tecnología de Athena.

El software espía Athena es capaz de modificar su configuración en tiempo real, característica que permite adaptarlo a una operación específica.

«Una vez instalado, el malware proporciona una capacidad de señalización (incluida la configuración y el manejo de tareas), la carga/descarga de memoria de cargas útiles maliciosas para tareas específicas y la entrega y recuperación de archivos hacia/desde un directorio específico en el sistema de destino», afirma WikiLeaks. .

2: esquema de software espía Athena (Bóveda 7)

Los documentos filtrados no proporcionan ninguna información sobre las operaciones que lleva a cabo la CIA utilizando el software espía Athena, pero no es difícil imaginar cómo la agencia de inteligencia utilizaría este programa para espiar a sus objetivos.

Pandemia – 1 de junio de

Junio ​​comenzó con la publicación de un nuevo lote de cinco documentos del archivo Vault7 relacionados con otro proyecto de la CIA cuyo nombre en código es ‘Pandemia’.

El proyecto Pandemic CIA es un implante persistente de Windows que comparte archivos (programas) con usuarios remotos en una red local. El implante podría usarse para infectar a usuarios remotos reemplazando el código de la aplicación sobre la marcha con una versión troyanizada si la aplicación se recupera de la máquina infectada.

El implante transforma servidores de archivos en máquinas que infectan los PC que acceden a ellos de forma remota.

«Hoy, 1 de junio de, WikiLeaks publica documentos del proyecto «Pandemic» de la CIA, un implante persistente para máquinas Microsoft Windows que comparten archivos (programas) con usuarios remotos en una red local.» lee la descripción publicada por Wikileaks.» ‘Pandemic’ apunta a usuarios remotos reemplazando el código de la aplicación sobre la marcha con una versión troyana si el programa se recupera de la máquina infectada».

Una computadora en una red local con unidades compartidas que está infectada con el implante Pandemic es el equivalente médico de un Paciente Cero en la ciencia médica que propaga una enfermedad. Comprometerá las computadoras remotas si el usuario ejecuta aplicaciones almacenadas en el servidor de archivos pandémicos.

La instalación del implante es muy rápida, según los documentos solo toma entre 10 y 15 segundos.

Según los documentos, Pandemic se instala como un controlador de dispositivo de minifiltro , es probable que el implante deba estar firmado con un certificado digital válido para poder instalarse, otra posibilidad es que el código malicioso se instale utilizando un exploit que elude el código. firmar cheques. La restricción de firma de conductores y otros detalles técnicos, dijo, dan la impresión de que la herramienta no se usa ampliamente.

«Parece que este código fue desarrollado con un uso muy específico en mente», dijo a Ars Technica Jake Williams, ex hacker TAO de la NSA. «Muchas organizaciones más grandes no usan servidores de archivos de Windows para servir archivos. Usan dispositivos de almacenamiento especiales (almacenamiento conectado a la red). Supongo que esto fue diseñado para una organización relativamente pequeña».

El implante Pandemic no cambia el archivo en el sistema infectado cuando las víctimas solicitan un archivo, simplemente les entrega un reemplazo troyanizado de la aplicación legítima.

Según la documentación, el implante Pandemic es capaz de sustituir hastarogramas, con un tamaño máximo de 800 MB.

«Pandemic es una herramienta que se ejecuta como código shell del kernel para instalar un controlador de filtro del sistema de archivos. El filtro ‘reemplazará’ un archivo de destino con el archivo de carga útil dado cuando un usuario remoto acceda al archivo a través de SMB (solo lectura, no escritura) «. lee el resumen de la herramienta Pandemic Implant . «Pandemic no ‘reemplazará’ el archivo de destino cuando el archivo de destino se abra en la máquina en la que se ejecuta Pandemic. El objetivo de Pandemic es instalarse en una máquina donde los usuarios remotos usan SMB para descargar/ejecutar archivos PE. (S/ /NF) Pandemic NO//NO realiza ningún cambio físico en el archivo de destino en el disco. El archivo de destino en el sistema en el que está instalado Pandemic permanece sin cambios. Los usuarios que son el objetivo de Pandemic y usan SMB para descargar el archivo de destino, recibir el archivo de ‘reemplazo’.»

La documentación no proporciona información sobre el proceso de infección y no especifica si las máquinas infectadas se convierten en nuevos servidores pandémicos.

Flor de cerezo – 15 de junio de

El marco Cherry Blossom fue desarrollado por la CIA en el marco del proyecto ‘Cherry Bomb’, junto con expertos del Instituto de Investigación de Stanford (SRI International), para piratear dispositivos Wi-Fi, incluidos cientos de modelos de enrutadores domésticos.

Cherry Blossom es un implante basado en firmware controlable de forma remota para dispositivos de redes inalámbricas; podría usarse para comprometer enrutadores y puntos de acceso inalámbricos (AP) activando vulnerabilidades para obtener acceso no autorizado y cargar el firmware personalizado de Cherry Blossom.

«El sistema Cherry Blossom (CB) proporciona un medio para monitorear la actividad de Internet y realizar exploits de software en objetivos de interés. En particular, CB se centra en comprometer dispositivos de redes inalámbricas, como enrutadores inalámbricos (802.11) y puntos de acceso (AP). ), para lograr estos objetivos», afirma el manual de usuario .

«Un dispositivo implantado [llamado Flytrap ] se puede utilizar para monitorear la actividad de Internet y entregar vulnerabilidades de software a objetivos de interés».lee el CherryBlossom — Manual del usuario (CDRL-12). «El dispositivo inalámbrico en sí se ve comprometido al implantarle un firmware CherryBlossom personalizado; algunos dispositivos permiten actualizar su firmware a través de un enlace inalámbrico, por lo que no es necesario acceso físico al dispositivo para una infección exitosa», dice WikiLeaks .

El CherryBlossom se compone de cuatro componentes principales:

Los ciberespías de la CIA utilizan el marco Cherry Blossom para comprometer los dispositivos de redes inalámbricas en las redes objetivo y luego ejecutan ataques de intermediario para espiar y manipular el tráfico de Internet de los dispositivos conectados.

3 – Proyecto CherryBlossom

FlyTrap podría realizar las siguientes tareas maliciosas:

El servidor CherryTree CC debe estar ubicado en una instalación patrocinada segura e implementado en servidores virtuales con tecnología Dell PowerEdge 1850, que ejecuten Red Hat Fedora 9 y con al menos 4 GB de RAM.
Los documentos filtrados por Wikileaks incluyen una lista de más demodelos de enrutadores que podrían ser pirateados con el implante CherryBlossom, los expertos notaron que la mayoría de ellos son modelos más antiguos de varios proveedores, incluidos Belkin, D-Link, Linksys, Aironet/Cisco, Apple AirPort. Express, Allied Telesyn, Ambit, AMIT Inc, Accton, 3Com, Asustek Co, Breezecom, Cameo, Epigram, Gemtek, Global Sun, Hsing Tech, Orinoco, PLANET Technology, RPT Int, Senao, US Robotics y Z-Com.

Para obtener la lista completa de dispositivos incluidos en un documento de WikiLeaks .

Malware ELSA – 28 de junio de

Elsa es un malware detallado en los documentos filtrados por WikiLeaks el 28 de junio, fue diseñado por. CIA para rastrear la ubicación de las personas a través de sus dispositivos con Wi-Fi.

El malware Elsa implementa una técnica de geolocalización para rastrear objetivos a través de dispositivos Wi-Fi, escanea puntos de acceso Wi-Fi visibles y registra sus detalles, como el identificador ESS, la dirección MAC y la intensidad de la señal a intervalos regulares.

El volcado filtrado incluye un manual de usuario con fecha de septiembre de, los documentos no incluyen información sobre ninguna mejora del código malicioso.

4 – Malware Elsa

Los datos registrados por el malware ELSA se cifran y registran; los agentes de la CIA pueden acceder a ellos solo recuperando manualmente el registro conectándose al dispositivo conectado a Wi-Fi. Cuando el dispositivo está conectado a Internet, el malware aprovecha las bases de datos públicas de geolocalización de Google o Microsoft para resolver la posición.

«ELSA es un malware de geolocalización para dispositivos habilitados para Wi-Fi, como computadoras portátiles que ejecutan el sistema operativo Microsoft Windows. Una vez instalado persistentemente en una máquina de destino utilizando exploits separados de la CIA, el malware escanea los puntos de acceso Wi-Fi visibles y registra el identificador ESS, MAC. dirección y intensidad de la señal a intervalos regulares». lee la publicaciónpublicado por Wikileaks. «Para realizar la recopilación de datos, la máquina de destino no tiene que estar en línea o conectada a un punto de acceso; solo necesita estar ejecutándose con un dispositivo Wi-Fi habilitado. Si está conectado a Internet, el malware intenta usar automáticamente bases de datos públicas de geolocalización de Google o Microsoft para resolver la posición del dispositivo y almacena los datos de longitud y latitud junto con la marca de tiempo. La información recopilada sobre el punto de acceso/geolocalización se almacena en forma cifrada en el dispositivo para su posterior filtración. El malware en sí no enviar estos datos a un back-end de la CIA; en su lugar, el operador debe recuperar activamente el archivo de registro del dispositivo, nuevamente utilizando exploits y puertas traseras de la CIA por separado».

Los documentos informan que el malware también funciona cuando el dispositivo con Wi-Fi está fuera de línea o no está conectado a un punto de acceso.

Los datos se cifran y se registran, y el operador del malware puede recuperar manualmente los registros conectándose al dispositivo infectado. Los operadores de la CIA podrían personalizar el malware ELSA para que coincida con el entorno objetivo y los objetivos de la misión.

«El proyecto ELSA permite la personalización del implante para que coincida con el entorno objetivo y los objetivos operativos como el intervalo de muestreo, el tamaño máximo del archivo de registro y el método de invocación/persistencia», continúa WikiLeaks. «El software de back-end adicional (nuevamente utilizando bases de datos públicas de geolocalización de Google y Microsoft) convierte la información de puntos de acceso no procesada de archivos de registro exfiltrados en datos de geolocalización para crear un perfil de seguimiento del dispositivo de destino».

OutlawCountry – 30 de junio de

Desde marzo, todos los documentos filtrados por Wikileaks de Vault7 detallan herramientas y técnicas de piratería para hackear sistemas Windows, el 30 de junio, la organización publicó nuevos archivos de la filtración de Vault 7 que detallan una herramienta de la CIA denominada OutlawCountry utilizada por la agencia para espiar remotamente Computadoras que ejecutan sistemas operativos Linux.

La herramienta OutlawCountry fue diseñada para redirigir todo el tráfico de red saliente en la computadora objetivo a sistemas controlados por la CIA para extraer e infiltrar datos. El núcleo de la herramienta es un módulo del kernel para Linux 2.6 que los piratas informáticos de la CIA cargan mediante acceso shell al sistema objetivo.

La principal limitación de esta herramienta es que el módulo del kernel solo funciona con el kernel de Linux compatible según la lista de requisitos previos incluida en la documentación:

El módulo permite la creación de una tabla Netfilter oculta con un nombre oscuro en un usuario de Linux objetivo.

«La herramienta OutlawCountry consta de un módulo del kernel para Linux 2.6. El operador carga el módulo a través del acceso de shell al destino. Cuando se carga, el módulo crea una nueva tabla Netfilter con un nombre oscuro. La nueva tabla permite que se creen ciertas reglas usando el comando «iptables». Estas reglas tienen prioridad sobre las reglas existentes y solo son visibles para un administrador si se conoce el nombre de la tabla». lee el Manual del usuario de OutlawCountry . «Cuando el operador elimina el módulo del kernel, la nueva tabla también se elimina».

En el siguiente diagrama, el operador de la CIA carga OutlawCountry en el objetivo (TARG_1), luego puede agregar reglas de iptables ocultas para modificar el tráfico de red entre las redes OESTE y ESTE. Por ejemplo, los paquetes que deben enrutarse desde OESTE_2 a EAST_3 pueden redirigirse a EAST_4.

5: herramienta OutlawCountry

El manual no incluye información relacionada con la forma en que el atacante inyecta el módulo del kernel en el sistema operativo Linux objetivo. Es probable que los ciberespías aprovechen múltiples herramientas de piratería y exploits en su arsenal para comprometer al objetivo que ejecuta el sistema operativo Linux.

OutlawCountry contiene solo un módulo de kernel para CentOS/RHEL 6.x de 64 bits que hace posible la inyección solo en el kernel de Linux predeterminado.

«(S//NF) OutlawCountry v1.0 contiene un módulo de kernel para CentOS/RHEL 6.x de 64 bits.

Este módulo sólo funcionará con kernels predeterminados. Además, solo OutlawCountry v1.0

admite agregar reglas DNAT encubiertas a la cadena PREROUTING», continúa el manual filtrado por WikiLeaks.

BothanSpy y Gyrfalcon – 06 de julio de

El último lote de documentos publicados por WikiLeaks del volcado de Vault7 detalla dos nuevos implantes de la CIA supuestamente utilizados por la agencia para interceptar y exfiltrar credenciales SSH (Secure Shell) de los sistemas operativos Windows y Linux con diferentes vectores de ataque.

El primer implante, con nombre en código BothanSpy, se desarrolló para apuntar al cliente Microsoft Windows Xshell, el segundo, llamado Gyrfalcon, fue diseñado para apuntar al cliente OpenSSH en varias distribuciones de Linux, incluidas CentOS, Debian, RHEL (Red Hat), openSUSE y Ubuntu.

BothanSpy y Gyrfalcon pueden robar credenciales de usuario para todas las sesiones SSH activas y luego enviarlas de vuelta a los ciberespías de la CIA.

BothanSpy se instala como una extensión Shellterm 3.x en la máquina de destino, los atacantes podrían explotarlo solo cuando Xshell se esté ejecutando en él con sesiones activas.

Xshell es un emulador de terminal que admite SSH, SFTP, TELNET, RLOGIN y SERIAL para ofrecer funciones líderes en la industria que incluyen un entorno con pestañas, reenvío de puertos dinámico, asignación de teclas personalizada, botones definidos por el usuario, secuencias de comandos VB y terminal UNICODE para mostrar archivos de 2 bytes. caracteres y soporte de idiomas internacionales.

«BothanSpy sólo funciona si Xshell se está ejecutando en el objetivo y tiene sesiones activas. De lo contrario, Xshell no almacena información de credenciales en la ubicación que BothanSpy buscará». lee el manual de usuario .

«para usar BothanSpy contra objetivos que ejecutan una versión x64 de Windows, el cargador que se utiliza debe admitir la inyección Wow64. Xshell solo viene como un binario x86 y, por lo tanto, BothanSpy solo se compila como x86. Shellterm 3.0+ admite la inyección Wow64 y Shellterm es altamente recomendado. «

El segundo implante, cuyo nombre en código es Gyrfalcon, funciona en sistemas Linux (kernel de 32 o 64 bits), los piratas informáticos de la CIA utilizan un malware personalizado denominado rootkit JQC/KitV para el acceso persistente.

El implante podría recopilar el tráfico total o parcial de la sesión OpenSSH y almacena la información robada en un archivo cifrado local para su posterior filtración.

«Gyrfalcon es una herramienta para «compartir» sesiones SSH que opera en sesiones OpenSSH salientes desde el host de destino en el que se ejecuta. Puede registrar sesiones SSH (incluidas las credenciales de inicio de sesión), así como ejecutar comandos en nombre del usuario legítimo en
el host remoto » lee el manual de usuario de Gyrfalcon v1.0.

«La herramienta se ejecuta de forma automatizada. Se conde antemano, se ejecuta en el host remoto y se deja ejecutándose. Algún tiempo después, el operador regresa y le ordena a gerifalte que descargue toda su colección en el disco. El operador recupera el archivo de la colección, lo descifra y analiza los datos recopilados.»

Wikileaks también publicó la guía de usuario de Gyrfalcon v2.0, el implante se compone de dos archivos binarios compilados que los atacantes deben cargar en la plataforma de destino.

«The target platform must be running the Linux operating system with either 32- or 64-bit kernel and libraries. Gyrfalcon consists of two compiled binaries that should be uploaded to the target platform along with the encrypted configuration file.» continues the malware.

«Gyrfalcon does not provide any communication services between the local operator computer and target platform. The operator must use a third-party application to upload these three files to the target platform.»

References

http://securityaffairs.co/wordpress/60754/intelligence/bothanspy-gyrfalcon-implants.html

http://securityaffairs.co/wordpress/59130/hacking/aftermidnight-assassin-malware-framework.html

https://www.bleepingcomputer.com/news/security/wikileaks-dump-reveals-cia-malware-that-can-sabotage-user-software/
https://wikileaks.org/vault7/document/AfterMidnight_v1_0_Users_Guide/AfterMidnight_v1_0_Users_Guide.pdf

http://securityaffairs.co/wordpress/59256/hacking/wikileaks-athena-spyware.html

https://wikileaks.org/vault7/document/Athena-v1_0-UserGuide/
https://arstechnica.com/security//06/wikileaks-says-cias-pandemic-implant-turns-servers-into-malware-carriers/

http://securityaffairs.co/wordpress/59639/intelligence/pandemic-implant-cia-vault7.html

http://securityaffairs.co/wordpress/58518/hacking/wikileaks-cia-scribbles.html

http://securityaffairs.co/wordpress/57377/intelligence/cia-dark-matter-vault7.html

http://securityaffairs.co/wordpress/60095/uncategorized/cia-cherry-blossom-framework.html

http://securityaffairs.co/wordpress/60511/intelligence/cia-elsa-malware.html

http://securityaffairs.co/wordpress/60584/breaking-news/cia-outlawcountry-hack-linux.html

http://securityaffairs.co/wordpress/58775/hacking/cia-archimedes-tool.html

http://securityaffairs.co/wordpress/57586/intelligence/vault7-marble-framework.html

http://securityaffairs.co/wordpress/57822/intelligence/cia-grasshopper-framework.html

http://securityaffairs.co/wordpress/56958/intelligence/wikileaks-cia-hacking-tools.html

http://securityaffairs.co/wordpress/60754/intelligence/bothanspy-gyrfalcon-implants.html

https://wikileaks.org/vault7/#BothanSpy
https://wikileaks.org/vault7/#Archimedes
https://wikileaks.org/vault7/document/Scribbles/Scribbles.zip
https://wikileaks.org/ciav7p1/cms/page_12353652.html
https://wikileaks.org/vault7/document/Marble/Marble.zip
https://wikileaks.org/vault7/#Scribbles
https://wikileaks.org/vault7/document/Fulcrum-User_Manual-v0_62/
https://wikileaks.org/vault7/#Dark%tter?cia
https://wikileaks.org/vault7/#Pandemic

https://wikileaks.org/vault7/releases/#Cherry Blossom

https://wikileaks.org/vault7/#Elsa
https://wikileaks.org/vault7/document/OutlawCountry_v1_0_User_Manual/OutlawCountry_v1_0_User_Manual.pdf

Become a certified reverse engineer!

Get live, hands-on malware analysis training from anywhere, and become a Certified Reverse Engineering Analyst. Start Learning

https://wikileaks.org/vault7/#BothanSpy