维基解密又更新:BothanSpy和Gyrfalcon工具能够窃取SSH身份凭证

前两周刚公布 Elsa 及 OutlawCountry 后,维基解密于7月6日又发布 CIA 的 BothanSpy 和 Gyrfalcon 工具的说明文档,详细揭露了这两款可从 Windows 和 Linux 系统中窃取 SSH 身份凭证的工具。

两款工具都是植入型的恶意程序。通过多种途径安装在目标用户计算机上后,恶意程序就会 hook 到与SSH相关的进程中窃取身份凭证或会话流量。

维基解密又更新:BothanSpy和Gyrfalcon工具能够窃取SSH身份凭证

BothanSpy 以 Windows 为目标

第一款工具 BothanSpy 是针对 Windows 系统计算机的恶意程序。维基解密提供了该工具的一份 12 页的文档说明,我们可以看到这份文档发布日期是 2015 年 3月。

BothanSpy 以 Shellterm 3.x 拓展的形式安装在目标计算机上,能够hook到 Xshell(Windows上的 SSH 客户端)进程中。而 Xshell 一直是款功能强大且相对安全的终端模拟器。它能够支持SSH、SFTP、TELNET、RLOGIN 和 SERIAL 协议,其包含的许多功能都是业界领先的,如动态端口转发,自定义键映射,自定义按钮和VB脚本等等。

BothanSpy 是一款潜入 SSH 终端模拟器 Xshell 窃取所有活跃 SSH 会话中用户凭证的 Windows 平台工具。BothanSpy 会通过 Fire and Collect (F&C) 通道将收集的凭证转移至攻击者的计算机上。通过使用F & C,BothanSpy不会接触到本地计算机的磁盘。

维基解密又更新:BothanSpy和Gyrfalcon工具能够窃取SSH身份凭证

我们使用BothanSpy进行攻击时,还有一个问题。就是一些目标用户使用的是 x64 版本的 Windows 系统,在这个时候还可以使用 BothanSpy 的前提是,所使用的加载程序必须是支持 Wow64 注入的。由于 Xshell 只作为 x86 二进制文件,所以 BothanSpy 目前仅被编译成 x86 的。Shellterm 3.0 以上版本支持 Wow64 注入,所以我们强烈推荐使用 Shellterm 作为加载程序。

Gyrfalcon 则将 Linux 作为目标

维基解密又更新:BothanSpy和Gyrfalcon工具能够窃取SSH身份凭证

第二款工具 Gyrfalcon 则是针对 Linux 系统( 32 位或 64 位),它需要使用 CIA 开发的 JQC/KitV rootkit 获取访问权限。根据27页文件说明我们就可以看到该份文件的创建日期,早在2013年11月就已经写好。这款工具可以使用在包括 RHEL, Ubuntu, SUSE, Debian, 及 CentOS 的多款系统之上。

 Gyrfalcon 能够收集全部或部分 OpenSSH 的会话流量,包括 OpenSSH 用户的用户名和密码。一个第三方的应用会提供 Linux 平台及监听端口的通讯交流,用来传送加密信息文件。

这款工具基本是自动运行的,在事先就可以完成参数设定,远程执行后可以保持运行状态。之后,运行结果会被保存在本地。黑客获取保存数据的文件后能够损毁文件,开始对收集的数据进行汇总分析。

Gryfalcon 的工作原理是通过以 OpenSSH 客户端为目标,在活动的SSH会话中获取用户信息。通过这款工具窃取到的信息以加密文件的方式保存在本地,后通过通讯渠道传送到攻击者的计算机上。

CIA 员工需要获得 root 权限才能在目标计算机上安装 Gryfalcon,但运行这款工具的时候只需要普通账户权限。

更多细节内容请查看文档,地址【BothanSpy】【Gryfalcon 2.0


这两款工具也都属于Vault7系列的一部分,维基解密宣传这批工具文档说明均从CIA内部获取。

可以在下述列表中查看过去发布的这些工具,主要包括如下:

OutlawCountry – 远程监控Linux主机

ELSA 通过 Wifi 定位用户地理位置,在 Wifi 离线状态也可定位

Brutal Kangaroo – 针对企业或组织中网络隔离Windows主机的CIA工具。

Cherry Blossom – 一款能够远程控制的基于固件的植入工具,利用Wifi设备中的漏洞监控目标系统的网络活动

Pandemic – CIA用它把Windows文件服务器变成攻击主机,从而感染局域网内的其他主机

Athena – 一个间谍软件框架,能够远程控制感染Windows主机,并且支持所有Windows操作系统,从Windows XP到Windows 10。

AfterMidnight和Assassin – CIA的两个恶意软件框架,针对Windows平台,能够监控、回传感染主机的操作并且执行恶意代码

Archimedes – 局域网内进行中间人攻击的工具

Scribbles – 一款将web beacons加入加密文档的工具,以便CIA黑客追踪泄密者

Grasshopper – 一款框架,CIA用它来创建针对Windows的恶意软件并且绕过杀毒软件

Marble – 一款秘密反取证的框架,对恶意软件的真实来源进行混淆

Dark Matter – 针对iPhone和Mac电脑的入侵工具

Weeping Angel – 将智能电视的麦克风转变为监控工具。利用此工具,CIA黑客能够将打开居民家中的智能电视(而且是在用户以为电视关闭的情况下),并窃听人们的对话。

Year Zero – CIA针对硬件和软件的漏洞利用工具

*参考来源:bleepingcomputer,Elaine编译,转载请注明FreeBuf.COM

相关推荐