新闻快讯
< >

维基解密:CIA恶意软件直指SSH,Windows与Linux双双中招

维基解密:CIA恶意软件直指SSH,Windows与Linux双双中招-E安全

E安全7月7日讯 维基解密于美国时间7月6日再度公开两份关于CIA Vault 7机密项目的文件——分别为BothanSpy(博萨间谍)与Gyrfalcon(矛隼)。这两个项目描述了如何利用“植入物”对SSH凭证进行拦截与渗透,且能够针对不同操作系统使用不同的攻击向量。

E安全百科:SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix,以及其他平台,都可运行SSH。

针对Windows的BothanSpy

维基解密:CIA恶意软件直指SSH,Windows与Linux双双中招-E安全

BothanSpy是专门针对微软Windows平台之上SSH客户端程序Xshell的植入物,负责对全部活动SSH会话的用户凭证进行窃取。在使用经密码认证的SSH会话或用户名时,这类凭证为用户名及密码; 而在使用SSH公钥验证时,此类凭证则为SSH私钥及密钥密码的文件名。BothanSpy能够将提取到的凭证回传至CIA控制的服务器端(意味着该植入物不会触及目标系统中的磁盘),或者将其保存在加密文件当中,以便后续利用其它方式进行渗透。BothanSpy在目标设备上作为Shellterm 3.x扩展进行安装。

针对Linux的Gyrfalcon

维基解密:CIA恶意软件直指SSH,Windows与Linux双双中招-E安全

Gyrfalcon 则是一种针对Linux平台(包括CentOS、Debian、RHEL、SUSE以及Ubuntu等)上OpenSSH客户端的植入物。该植入物不仅能够窃取活动SSH会话中的用户凭证,同时还可收集全部或者部分OpenSSH会话流量。所有收集到的信息皆被保存在一个加密文件之内以备后续渗透。此植入物利用一款由CIA开发且针对目标设备的root工具包(JQC/KitV)实现安装与配置。

维基解密自三月以来公开的CIA工具

下面是E安全整理的维基解密自今年3月以来披露发布的CIA工具:

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。