维基解密:CIA开发“OutlawCountry”入侵Linux系统
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全7月3日讯,维基解密最近又发布一批新的文档,其中详细介绍了CIA工具“OutlawCountry(法外之地)”——该工具专门用于以远程方式入侵运行有Linux操作系统的计算机。
根据维基解密泄露出的文档,“法外之地”工具的设计目的在于将目标Linux计算机上的全部出站网络流量重新定向至CIA控制下的系统当中,从而实现数据的提取与渗透。
“法外之地” Linux入侵工具当中包含一款面向Linux 2.6的内核模块,CIA黑客通过shell访问目标系统从而完成该模块的加载。
这款工具的主要局限在于,该内核模块只适用于一部分特定Linux内核,文档中列出的具体兼容版本如下所示:
· (S//NF)目标必须运行有CentOS/Red Hat Enterprise Linux 6.x之64位兼容版本
(内核版本为 2.6.32)。· (S//NF) 操作人员必须具备用于接入目标设备的shell。
· (S//NF)目标必须拥有一套“nat”网络过滤表。
该模块允许为目标Linux用户创建一套隐藏且不具备明确名称的网络过滤表。
法外之地”用户手册同时解释称
“法外之地”工具由面向Linux 2.6的内核模块构成。操作人员可通过shell接入目标并实现该模块的加载。而这份新表则允许使用‘iptables’命令以创建特定规则。这些规则优先于现有规则,且如果表名称已知,则只有管理员可以进行查看。当操作人员移除该内核模块时,该新表也将被一并移除。”
在下图中,CIA操作人员将”法外之地”加载到了目标(TARG_1)当中,并随后添加了多项隐藏iptables规则以修改WEST与EAST网络之间的网络流量。举例来说,原本应由WEST_2被路由至EAST_3的数据包有可能被重新定向至EAST_4。
这份手册并没有提及与攻击者将该内核模块注入至目标Linux操作系统当中的具体方式信息。根据推测,网络间谍人员有可能会利用多种武器库内的黑客工具及安全漏洞入侵运行有Linux操作系统的目标设备。
“法外之地”中只包含一种面向64位CentOS/RHEL 6.x版本的内核模块,这意味着其可能只会被注入至默认Linux内核当中。
维基百科发布的这份用户手册同时补充称,“(S//NF) “法外之地” v1.0当中包含一种面向64位CentOS/RHEL 6.x版本的内核模块。此模块只作用于默认内核。另外,‘法外之地’v1.0仅支持向PREROUTING链添加隐藏的DNAT规则。”
维基解密自三月以来公开的CIA工具
下面是E安全整理的维基解密自今年3月以来披露发布的CIA工具,点击即可查看:
OutlawCountry(“法外之地”,入侵运行有Linux操作系统的计算机);
Scribbles(CIA追踪涉嫌告密者的程序);
Weeping Angel (“哭泣天使”,将智能电视的麦克风转变为监控工具);
Hive (“蜂巢”,多平台入侵植入和管理控制工具);
Marble Framework (“大理石框架”,用来对黑客软件的开发代码进行混淆处理、防止被归因调查取证);
E安全推荐文章
官网:www.easyaq.com
2017年7月