El libre pensamiento para un internet libre
No estas registrado.
- Temas: Activo | Sin respuesta
Anuncio
#1 09-07-2017 13:01:42
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 5,539
Gyrfalcon 2.0: Malware en Python de la CIA para romper el SSH en linux
Gryaflcon: un malware diseñado por la CIA en python para recuperar las llaves SSH en distribuciones GNU-Linux
La operación Vault7 de Wikileaks sigue su curso.
El 6 de julio pasado Wikileaks publicó BothanSpy
Bothanspy es el malware para Windows que se encarga de "romper el SSH" del sistema infectado
Gryfalcon es la versión para LInux.
No tenemos a todo el código empelado pero el manual de la CIA da todas las pistas para entender lo que ocurre.
Aquí tenéis a la guía (muy completa): Gyrfalcon 2.0: User Guide
La guía es para gente "con conocimientos en linux" (tampoco hace falta ser un maestro) y se entiende rápido que gryfalcon es un exploit bastante en "bruto".
Poco sofisticado y bastante desatendido. Muy parecidos a los que empleamos... 
Requiere una consola remota activa con derechos de administrador para su instalación.
Algo casi imposible lograr en un sistema bien configurado, empleado con cabeza (sin "rootear") y correctamente mantenido.
Vemos en el manual que hacen referencia varias veces veces a un roo tkit llamado JQC/KitV.
A un momento explican claramente que Gryfalcon está diseñado para aquellos dispositivos que han sido infectados con este root kit
(S//NF) Gyrfalcon is designed to execute its collection efforts against the OpenSSH client under the protection of the JQC/KitV root kit. The operator must be familiar with the JQC/KitV root kit on Linuxwhen installing the Gyrfalcon library, application, and configuration file.
Ofuscación
Se hace a manopla... linux será siempre linux incluso si eres agente de la CIA... RTFM! 
Se trata de mandar el proceso en background,
Significa que el proceso será visible haciendo un listado de los procesos con ps
Es una forma primitiva de esconder la actividad del virus.
Más adelante hablan de des-instalar el malware
Es también un método limitado para "no dejar huellas", haría falta editar sutilmente todos los registros y historiales y mucho mucho más.
Esta parte es muy instructiva: Vemos los directorios de trabajo escondidos y se confirma que la CIA instala su malware "gracias" a su root kit.:
Notad que la CIA usa el directorio /lib64/ (no escondido) para instalar dos objetos compartidos.
Un directorio muy poco empleando (tengo un solo elemento ahí)
No tenemos el código así que no sabemos exactamente cómo hacen en detalles para pillar las llaves.
Lo que está claro es que con un root kit instalado y una sesión root activa... es más fácil 
Gyrfalcon 2.0 no es en si el problema, lo que realmente intriga y alarma es el root kit
Notad que el manual es del 2013 y no hay dudas sobre le hecho de que la CIA emplea otras cosas hoy en día.
Desconectado
Anuncio
Temas similares
| Tema | Respuestas | Vistas | Ultimo mensaje |
|---|---|---|---|
|
Error de inicio en entorno gráfico por Hunter310#
|
24 | 15004 | 20-06-2022 12:22:19 por kcdtv |
| 15 | 2718 | 10-06-2022 09:13:42 por kcdtv | |
| 0 | 218 | 02-06-2022 10:05:09 por kcdtv | |
|
TP-Link Backup Decryption Utility por kcdtv
|
0 | 207 | 31-05-2022 18:44:34 por kcdtv |
|
¡Aircrack-ng 1.7 ya está disponible! por kcdtv
|
1 | 528 | 13-05-2022 08:46:52 por Koala |
Información del usuario
Ultimo usuario registrado: Asakuras
Usuarios registrados conectados: 0
Invitados conectados: 11
Estadisticas de los foros
Número total de usuarios registrados: 2,317
Número total de temas: 1,587
Número total de mensajes: 15,139
Atom tema feed - Impulsado por FluxBB
© 2014-2022 Wifi-libre.com - [ Generated in 0.053 seconds ]