==== хрум ==== Инструменты BothanSpy и Gyrfalcon предназначены для перехвата учетных данных SSH.
В рамках проекта Vault 7 организация WikiLeaks обнародовала документы, описывающие два хакерских инструмента из арсенала Центрального разведывательного управления США - BothanSpy и Gyrfalcon. Оба проекта представляют собой импланты, предназначенные для хищения учетных данных SSH на системах под управлением Windows и Linux.
BothanSpy нацелен на клиентскую программу Xshell для Microsoft Windows и позволяет перехватывать пользовательские учетные данные для активных SSH сессий. Похищенные данные могут быть отправлены на удаленный сервер или сохранены на диске в зашифрованном виде.
Gyrfalcon - имплант для клиентов OpenSSH на системах на базе Linux (RHEL, Ubuntu, Suse, Debian и CentOS). Инструмент может не только похищать учетные данные активных сессий, но также полностью или частично перехватывать трафик OpenSSH. Полученные данные сохраняются на диске в зашифрованном виде и позже извлекаются. Gyrfalcon устанавливается и настраивается на целевой системе с помощью специально разработанного руткита JQC/KitV. ==== тьфу ====
Посмотрел я этот Gyrfalcon... Общее впечатление такое же, как и от всех остальных "инструментов": они рассчитаны на тупого^W типового американца. Серьезно. Даже мои любимые мишени для говнежа - "школота с ебунтой" и приравненные к ним по уровню интеллекта особи - так обосраться... ну ладно, могут. Но только они. А американцы - судя по всему, поголовно.
Итак, принцип действия этого "импланта для клиентов OpenSSH": ptrace. Все. Остальное, если кто-то не знает это слово, можно прочитать в `man 2 ptrace`. Помимо ptrace, который в приличных системах еще явно разрешить надо, данный "инструмент" требует: * права root для установки (гы) * python (гы-гы) * swig (встроенный perl в hpt видели? а эта хрень - для питона, жабы итд) * metoocrypto (какое-то питоновское угробище для работы с openssl) Причем swig и metoocrypto предлагается при необходимости собирать локально из исходников (гы-гы-гы).
Методика обнаружения этого говна традиционна: rpm --verify --all Если в вашей системе используется другое средство управления пакетами, посмотрите в инструкции на него, как проверить контрольные суммы файлов, принадлежащих установленным пакетам. Если средство управления пакетами в используемой вами системе не предоставляет такую возможность или вообще отсутствует - ну, ой... лично я такую систему использовать не стал бы.
* Originally in RU.SECURITY * Crossposted in RU.LINUX * Crossposted in RU.LINUX.CHAINIK * Crossposted in RU.LINUX.REDHAT
-- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Любой инструмент, используемый не по назначению, превращается в грабли --- /bin/vi * Origin: http://openwall.com/Owl/ru (2:5020/545)