回归最本质的信息安全

CIA怎么监控黑掉的Linux服务器?用流量劫持

2017年7月2日发布

16,187
0
0

导语:维基解密这两天公布了一份新的CIA泄漏恶意软件文档,它介绍了CIA专为Linux系统打造的持久性控制工具——OutlawCountry。

WikiLeaks.png

维基解密这两天公布了一份新的CIA泄漏恶意软件文档,它介绍了CIA专为Linux系统打造的持久性控制工具——OutlawCountry

软件文档的日期显示为2015年6月4日,里边详细讲述了OutlawCountry的功能:Linux 2.6内核模块,可以将目标Linux设备上的流量重定向到攻击者指定服务器。

OutlawCountry需要系统root权限和shell访问权限,这说明在部署之前,CIA肯定还有一套可以黑掉Linux系统的方法。

重定向传出的网络流量

OutlawCountry使用Linux系统内置的包过滤工具,比如netfilter或iptable。它怎么工作呢?

运行时,模块会创建一个名字难以辨识的netfilter表,然后使用iptables命令设置特定规则。这组规则比现有规则优先级更高,只有管理员才能看到,而且他得认出来。当攻击者删除模块时,相关表也会被删除。

OutlawCountry 1.0里有一个适用于64位CentOS/RHEL 6.x的内核模块,它只在默认内核下工作,并只支持在PREROUTING链添加隐蔽的DNAT规则。

Linux服务器里的间谍工具

OutlawCountry适用于服务器和桌面Linux系统,不过显而易见,装在服务器里能造成的危害要大得多。它能直接嗅探出服务器上连接的所有用户的流量。

泄漏的OutlawCountry文档里,写着这个内核模块名为nf_table_6_64.ko,哈希值是2CB8954A3E683477AA5A084964D4665D。隐藏的netfilter表默认名字叫dpxvke8h18。

OutlawCountry是维基解密曝光的CIA泄漏黑客军火库的第十三批文档,之前的大家可以看嘶吼过去的报道

本文翻译自https://www.bleepingcomputer.com/news/security/outlawcountry-is-cias-malware-for-hacking-linux-systems/,如若转载,请注明原文地址: http://www.4hou.com/info/news/6012.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

longye

longye

临时工

发私信

发表评论