E安全7月7日訊
維基解密於美國時間7月6日再度公開兩份關於CIA Vault
7機密項目的文件——分別為BothanSpy(博薩間諜)與Gyrfalcon(矛隼)。這兩個項目描述了如何利用「植入物」對SSH憑證進行攔截與滲透，且能夠針對不同操作系統使用不同的攻擊向量。

E安全百科：SSH
為 Secure Shell 的縮寫，由 IETF 的網路小組（Network Working Group）所制定；SSH
為建立在應用層基礎上的安全協議。SSH 是目前較可靠，專為遠程登錄會話和其他網路服務提供安全性的協議。利用 SSH
協議可以有效防止遠程管理過程中的信息泄露問題。SSH最初是UNIX系統上的一個程序，後來又迅速擴展到其他操作平台。SSH在正確使用時可彌補網路中的漏洞。SSH客戶端適用於多種平台。幾乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital
UNIX、Irix，以及其他平台，都可運行SSH。

針對Windows的BothanSpy

BothanSpy是專門針對微軟Windows平台之上SSH客戶端程序Xshell的植入物，負責對全部活動SSH會話的用戶憑證進行竊取。在使用經密碼認證的SSH會話或用戶名時，這類憑證為用戶名及密碼;

而在使用SSH公鑰驗證時，此類憑證則為SSH私鑰及密鑰密碼的文件名。BothanSpy能夠將提取到的憑證回傳至CIA控制的伺服器端（意味著該植入物不會觸及目標系統中的磁碟），或者將其保存在加密文件當中，以便後續利用其它方式進行滲透。BothanSpy在目標設備上作為Shellterm
3.x擴展進行安裝。

針對Linux的Gyrfalcon

Gyrfalcon 則是一種針對Linux平台（包括CentOS、Debian、RHEL、SUSE以及Ubuntu等）上OpenSSH客戶端的植入物。該植入物不僅能夠竊取活動SSH會話中的用戶憑證，同時還可收集全部或者部分OpenSSH會話流量。所有收集到的信息皆被保存在一個加密文件之內以備後續滲透。此植入物利用一款由CIA開發且針對目標設備的root工具包（JQC/KitV）實現安裝與配置。

維基解密自三月以來公開的CIA工具

下面是E安全整理的維基解密自今年3月以來披露發布的CIA工具：

• BothanSpy（「博薩間諜」，針對Windows SSH客戶端程序）；

• Gyrfalcon （「矛隼」，針對Linux SSH客戶端程序）；

• OutlawCountry（「法外之地」，入侵運行有Linux操作系統的計算機）；

• Elsa（「艾爾莎」，利用WiFi追蹤電腦地理位置）；

• Brutal Kangaroo（「野蠻袋鼠」，攻擊網閘設備和封閉網路）；

• Emotional Simian（「情感猿猴」，針對網閘設備的病毒）

• Cherry Blossom （「櫻花」，攻擊無線設備的框架）；

• Pandemic（「流行病」，文件伺服器轉換為惡意軟體感染源）；

• Athena（「雅典娜」，惡意間諜軟體，能威脅所有Windows版本）；

• AfterMidnight （「午夜之後」，Winodws平台上的惡意軟體框架）；

• Archimedes（「阿基米德」，中間人攻擊工具） ；

• Scribbles（CIA追蹤涉嫌告密者的程序）；

• Weeping Angel （「哭泣天使」，將智能電視的麥克風轉變為監控工具）；

• Hive （「蜂巢」，多平台入侵植入和管理控制工具）；

• Grasshopper（「蝗蟲」，針對Windows系統的一個高度可配置木馬遠控植入工具）；

• Marble Framework （「大理石框架」，用來對黑客軟體的開發代碼進行混淆處理、防止被歸因調查取證）；

• Dark Matter（「暗物質」，CIA入侵蘋果Mac和iOS設備的技術與工具）

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！