Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
scryptos
7 лет назад

SSH - эксплойты ЦРУ

В очередной порции документов, полученных в результате утечки данных из закрытой сети ЦРУ и размещённых на WikiLeaks, приводятся сведения о двух проектах по установке вредоносного ПО (имплантов в терминологии ЦРУ) на системы пользователей - BothanSpy и Gyrfalcon. Оба проекта обеспечивают перехват данных аутентификации, фигурирующих при установке защищённых сеансов по протоколу SSH.

Gyrfalcon нацелен на сбор параметров аутентификации (логин/пароль, закрытые SSH-ключи и пароли к SSH-ключам) у клиентов OpenSSH, а также поддерживает режим полного или выборочного сохранения содержимого SSH-сеансов и может выполнить подстановку команд в сеансы. Вся накопленная информация шифруется и сохраняется в файл для последующей отправки на внешний сервер, подконтрольный ЦРУ.

Передача собранных данных осуществляется при помощи других средств - Gyrfalcon обеспечивает только накопление данных. Варианты Gyrfalcon подготовлены для различных дистрибутивов Linux, включая RHEL, CentOS, Debian, openSUSE и Ubuntu. Имплант устанавливается в систему после получения привилегированного доступа, например после атаки с использованием неисправленных уязвимостей или через вход под перехваченной учётной записью.

Описывается два варианта импланта:

Gyrfalcon1 запускается в виде фонового процесса, который работает с правами root и использует ptrace для получения контроля за процессами штатного системного SSH-клиента. После активации Gyrfalcon отслеживает запуск новых процессов и в случае обнаружения SSH-клиента подключается к нему при помощи ptrace. Работа выполняется в пассивном режиме. Дополнительно поставляется Python-скрипт для настройки работы и определения правил перехвата трафика.
Gyrfalcon2 оформлен в виде разделяемой библиотеки, которая устанавливается в систему вместо штатной библиотеки libgssapi.so или загружается через LD_PRELOAD в адресное пространство клиента OpenSSH и перехватывает некоторые обработчики. В состав также входит приложение, которое взаимодействует с библиотекой и получает от неё перехватываемые сведения. Имплант рассчитан на поставку вместе с руткитом JQC/KitV, который обеспечивает его скрытие и активацию.
Второй бэкдор BothanSpy близок по своим возможностям к Gyrfalcon, и отличается тем, что нацелен на слежку за пользователями Windows через подмену SSH-клиента Xshell. Бэкдор устанавливается в систему под видом расширения Shellterm 3.x и действует только для SSH-сеансов, осуществляемых через эмулятор терминала Xshell.

0
0.050 GOLOS
На Golos с July 2017
Комментарии (4)
Сортировать по:
Сначала старые