維基解密:CIA惡意軟體直指SSH,Windows與Linux雙雙中招
E安全7月7日訊
維基解密於美國時間7月6日再度公開兩份關於CIA Vault
7機密項目的文件——分別為BothanSpy(博薩間諜)與Gyrfalcon(矛隼)。這兩個項目描述了如何利用「植入物」對SSH憑證進行攔截與滲透,且能夠針對不同操作系統使用不同的攻擊向量。
E安全百科:SSH
為 Secure Shell 的縮寫,由 IETF 的網路小組(Network Working Group)所制定;SSH
為建立在應用層基礎上的安全協議。SSH 是目前較可靠,專為遠程登錄會話和其他網路服務提供安全性的協議。利用 SSH
協議可以有效防止遠程管理過程中的信息泄露問題。SSH最初是UNIX系統上的一個程序,後來又迅速擴展到其他操作平台。SSH在正確使用時可彌補網路中的漏洞。SSH客戶端適用於多種平台。幾乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital
UNIX、Irix,以及其他平台,都可運行SSH。
針對Windows的BothanSpy
BothanSpy是專門針對微軟Windows平台之上SSH客戶端程序Xshell的植入物,負責對全部活動SSH會話的用戶憑證進行竊取。在使用經密碼認證的SSH會話或用戶名時,這類憑證為用戶名及密碼;
而在使用SSH公鑰驗證時,此類憑證則為SSH私鑰及密鑰密碼的文件名。BothanSpy能夠將提取到的憑證回傳至CIA控制的伺服器端(意味著該植入物不會觸及目標系統中的磁碟),或者將其保存在加密文件當中,以便後續利用其它方式進行滲透。BothanSpy在目標設備上作為Shellterm
3.x擴展進行安裝。
針對Linux的Gyrfalcon
Gyrfalcon 則是一種針對Linux平台(包括CentOS、Debian、RHEL、SUSE以及Ubuntu等)上OpenSSH客戶端的植入物。該植入物不僅能夠竊取活動SSH會話中的用戶憑證,同時還可收集全部或者部分OpenSSH會話流量。所有收集到的信息皆被保存在一個加密文件之內以備後續滲透。此植入物利用一款由CIA開發且針對目標設備的root工具包(JQC/KitV)實現安裝與配置。
維基解密自三月以來公開的CIA工具
下面是E安全整理的維基解密自今年3月以來披露發布的CIA工具:
BothanSpy(「博薩間諜」,針對Windows SSH客戶端程序);
Gyrfalcon (「矛隼」,針對Linux SSH客戶端程序);
OutlawCountry(「法外之地」,入侵運行有Linux操作系統的計算機);
Elsa(「艾爾莎」,利用WiFi追蹤電腦地理位置);
Brutal Kangaroo(「野蠻袋鼠」,攻擊網閘設備和封閉網路);
Emotional Simian(「情感猿猴」,針對網閘設備的病毒)
Cherry Blossom (「櫻花」,攻擊無線設備的框架);
Pandemic(「流行病」,文件伺服器轉換為惡意軟體感染源);
Athena(「雅典娜」,惡意間諜軟體,能威脅所有Windows版本);
AfterMidnight (「午夜之後」,Winodws平台上的惡意軟體框架);
Archimedes(「阿基米德」,中間人攻擊工具) ;
Scribbles(CIA追蹤涉嫌告密者的程序);
Weeping Angel (「哭泣天使」,將智能電視的麥克風轉變為監控工具);
Hive (「蜂巢」,多平台入侵植入和管理控制工具);
Grasshopper(「蝗蟲」,針對Windows系統的一個高度可配置木馬遠控植入工具);
Marble Framework (「大理石框架」,用來對黑客軟體的開發代碼進行混淆處理、防止被歸因調查取證);
Dark Matter(「暗物質」,CIA入侵蘋果Mac和iOS設備的技術與工具)
E安全註:本文系E安全獨家編譯報道,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。
@E安全,最專業的前沿網路安全媒體和產業服務平台,每日提供優質全球網路安全資訊與深度思考。
※網路釣魚熱門趨勢:中國的銀行成為主要攻擊目標
※AdGholas惡意廣告網路每天感染100萬台電腦
※戴爾系統多個預裝軟體現漏洞 易被黑客攻擊
TAG:E安全 |
※Unity為iOS和安卓打造AR開發軟體:AR Foundation
※基於DNS通信的Powershell惡意軟體DNSMessenger分析
※iPhone XS Max/XR通過軟體更新支持雙VoLTE
※惡意軟體利用Windows組件WMI和CertUtil攻擊巴西
※iPhone XS Max/XR通過軟體更新可支持雙VoLTE
※MARUI-PlugIn為三維創作軟體Maya、Blender提供VR插
※美高森美和SiFive推出HiFive Unleashed擴展板助力Linux軟體和固件開發人員首次構建RISC-V PC
※RPA軟體之Automation Anywhere研究
※Mac 辦公軟體:你選 iWork、Office 還是 WPS?
※最新 Mac 惡意軟體 OSX/CrescentCore 被發現
※微軟提高軟體報價:CERN被迫放棄Windows轉向Linux
※Epson和Crestec合作將PORECT AR軟體帶入Moverio系列
※PostProcess Technologies發布CONNECT3D軟體
※Underminer通過加密的TCP隧道提供Bootkit以及挖礦惡意軟體
※頭條:基於WordPress,Joomla和CodeIgniter的數以百計的網站感染ionCube惡意軟體
※Bashlite IoT惡意軟體更新
※濫用HTTPS站點隱藏的/.well-known/目錄傳播惡意軟體
※VMware收購Avi Networks,為多雲時代提供軟體定義ADC
※軟體定義汽車?Stop Coding&Start Configuring「GGAI佈道」
※Sennhiser HeadSetup 軟體暴漏出中間人 SSL 攻擊漏洞