前两周刚公布 Elsa 及 OutlawCountry 后,维基解密于7月6日又发布 CIA 的 BothanSpy 和 Gyrfalcon 工具的说明文档,详细揭露了这两款可从 Windows 和 Linux 系统中窃取 SSH 身份凭证的工具。
两款工具都是植入型的恶意程序。通过多种途径安装在目标用户计算机上后,恶意程序就会 hook 到与SSH相关的进程中窃取身份凭证或会话流量。
BothanSpy 以 Windows 为目标第一款工具 BothanSpy 是针对 Windows 系统计算机的恶意程序。维基解密提供了该工具的一份 12 页的文档说明,我们可以看到这份文档发布日期是 2015 年 3月。
BothanSpy 以 Shellterm 3.x 拓展的形式安装在目标计算机上,能够hook到 Xshell(Windows上的 SSH 客户端)进程中。而 Xshell 一直是款功能强大且相对安全的终端模拟器。它能够支持SSH、SFTP、TELNET、RLOGIN 和 SERIAL 协议,其包含的许多功能都是业界领先的,如动态端口转发,自定义键映射,自定义按钮和VB脚本等等。
BothanSpy 是一款潜入 SSH 终端模拟器 Xshell 窃取所有活跃 SSH 会话中用户凭证的 Windows 平台工具。BothanSpy 会通过 Fire and Collect (F&C) 通道将收集的凭证转移至攻击者的计算机上。通过使用F & C,BothanSpy不会接触到本地计算机的磁盘。
我们使用BothanSpy进行攻击时,还有一个问题。就是一些目标用户使用的是 x64 版本的 Windows 系统,在这个时候还可以使用 BothanSpy 的前提是,所使用的加载程序必须是支持 Wow64 注入的。由于 Xshell 只作为 x86 二进制文件,所以 BothanSpy 目前仅被编译成 x86 的。Shellterm 3.0 以上版本支持 Wow64 注入,所以我们强烈推荐使用 Shellterm 作为加载程序。
Gyrfalcon 则将 Linux 作为目标第二款工具 Gyrfalcon 则是针对 Linux 系统( 32 位或 64 位),它需要使用 CIA 开发的 JQC/KitV rootkit 获取访问权限。根据27页文件说明我们就可以看到该份文件的创建日期,早在2013年11月就已经写好。这款工具可以使用在包括 RHEL, Ubuntu, SUSE, Debian, 及 CentOS 的多款系统之上。
Gyrfalcon 能够收集全部或部分 OpenSSH 的会话流量,包括 OpenSSH 用户的用户名和密码。一个第三方的应用会提供 Linux 平台及监听端口的通讯交流,用来传送加密信息文件。
这款工具基本是自动运行的,在事先就可以完成参数设定,远程执行后可以保持运行状态。之后,运行结果会被保存在本地。黑客获取保存数据的文件后能够损毁文件,开始对收集的数据进行汇总分析。
Gryfalcon 的工作原理是通过以 OpenSSH 客户端为目标,在活动的SSH会话中获取用户信息。通过这款工具窃取到的信息以加密文件的方式保存在本地,后通过通讯渠道传送到攻击者的计算机上。
CIA 员工需要获得 root 权限才能在目标计算机上安装 Gryfalcon,但运行这款工具的时候只需要普通账户权限。
更多细节内容请查看文档,地址【BothanSpy】【Gryfalcon 2.0】
这两款工具也都属于Vault7系列的一部分,维基解密宣传这批工具文档说明均从CIA内部获取。
可以在下述列表中查看过去发布的这些工具,主要包括如下:
OutlawCountry – 远程监控Linux主机
ELSA – 通过 Wifi 定位用户地理位置,在 Wifi 离线状态也可定位
Brutal Kangaroo – 针对企业或组织中网络隔离Windows主机的CIA工具。
Cherry Blossom – 一款能够远程控制的基于固件的植入工具,利用Wifi设备中的漏洞监控目标系统的网络活动
Pandemic – CIA用它把Windows文件服务器变成攻击主机,从而感染局域网内的其他主机
Athena – 一个间谍软件框架,能够远程控制感染Windows主机,并且支持所有Windows操作系统,从Windows XP到Windows 10。
AfterMidnight和Assassin – CIA的两个恶意软件框架,针对Windows平台,能够监控、回传感染主机的操作并且执行恶意代码
Archimedes – 局域网内进行中间人攻击的工具
Scribbles – 一款将web beacons加入加密文档的工具,以便CIA黑客追踪泄密者
Grasshopper – 一款框架,CIA用它来创建针对Windows的恶意软件并且绕过杀毒软件
Marble – 一款秘密反取证的框架,对恶意软件的真实来源进行混淆
Dark Matter – 针对iPhone和Mac电脑的入侵工具