گزارشی که به تازگی از سوی ویکی‌لیکس منتشر شده نشان می‌دهد سازمان‌های جاسوسی به دنبال آن‌ هستند تا به هر شکل ممکن در سکتور راه‌انداز ویندوز تغییر به وجود آورند. تغییری که به آن‌ها اجازه می‌دهد پی‌لودهای بیشتری را روی سیستم قربانی مستقر کنند.

 

پروژه فوق تحت عنوان Anglefire حداقل از پنج سال پیش و همزمان با معرفی ویندوز 8 به مرحله اجرا در آمده و سیستم‌عامل‌های ویندوز ایکس‌پی و ویندوز 7 را اهداف قرار داده است. بنابر گزارش‌های منتشر شده هنوز هم طیف گسترده‌ای از سازمان‌های خصوصی و دولتی و همچنین کاربران از سیستم‌عامل‌های فوق استفاده می‌کنند، به همین دلیل جای تعجب نیست که این پروژه دو سیستم‌عامل فوق را هدف قرار داده است.

 

پروژه فوق از پنج ابزار مختلف با کاربردهای مختلف که همگی آن‌ها با یکدیگر در ارتباط هستند استفاده می‌کند تا سیستم‌ قربانیان را آلوده سازد. در گام اول مولفه Solartime اجرا می‌شود و سکتور راه‌انداز ویندوز را دستکاری می‌کند. در ادامه مولفه دوم مولفه wolfcreek دانلود شده که شامل یکسری درایورهای موردنیاز است که برای دانلود برنامه‌ها و درایورهای پی‌لود دیگر مورد استفاده قرار می‌گیرد. در مرحله بعد مولفه سوم به نام Keystone اجرا شده تا به سازمان‌های جاسوسی اجازه دهد بدافزارهای بیشتری را روی سامانه قربانیان نصب کنند. در مرحله چهارم مولفه BadMFS اجرا می‌شود که یک سامانه ذخیره‌ساز فایل‌ها است که همه مولفه‌ها و الگوریتم‌های رمزنگاری و مبهم‌سازی مورد نیاز درون آن قرار دارد.

 

در نهایت مولفه آخر یک سیستم فایلی Transitory  ویندوز (Windows Transitory File System) است که با هدف جایگزین کردن BadMFS مورد استفاده قرار می‌گیرد. این سیستم فایلی به این منظور طراحی شده تا از فایل‌های موقتی به جای فایل سیستم اصلی برای ذخیره‌سازی اطلاعات محلی استفاده کند. در حالی که سازوکار به کار رفته در پروژه فوق پیچیده هستند اما یکسری اشکالات نرم‌افزاری باعث شده است تا شناسایی آن ساده شود. به‌طور مثال، مولفه Keystone سعی می‌کند خود را یک نسخه svchost.exe معرفی کند که در مسیر C:windowssystem32 قرار دارد. همین موضوع باعث شده است تا اگر سیستم‌عامل روی درایوهای دیگری نصب شده باشد این مولفه به سادگی قابل شناسایی باشد. همچنین سیستم فایلی BadMFs فایلی با پسوند zf ایجاد می‌کند که ممکن است از سوی کاربران شناسایی شود.