导语:维基解密这两天公布了一份新的CIA泄漏恶意软件文档,它介绍了CIA专为Linux系统打造的持久性控制工具——OutlawCountry。

WikiLeaks.png

维基解密这两天公布了一份新的CIA泄漏恶意软件文档,它介绍了CIA专为Linux系统打造的持久性控制工具——OutlawCountry

软件文档的日期显示为2015年6月4日,里边详细讲述了OutlawCountry的功能:Linux 2.6内核模块,可以将目标Linux设备上的流量重定向到攻击者指定服务器。

OutlawCountry需要系统root权限和shell访问权限,这说明在部署之前,CIA肯定还有一套可以黑掉Linux系统的方法。

重定向传出的网络流量

OutlawCountry使用Linux系统内置的包过滤工具,比如netfilter或iptable。它怎么工作呢?

运行时,模块会创建一个名字难以辨识的netfilter表,然后使用iptables命令设置特定规则。这组规则比现有规则优先级更高,只有管理员才能看到,而且他得认出来。当攻击者删除模块时,相关表也会被删除。

OutlawCountry 1.0里有一个适用于64位CentOS/RHEL 6.x的内核模块,它只在默认内核下工作,并只支持在PREROUTING链添加隐蔽的DNAT规则。

Linux服务器里的间谍工具

OutlawCountry适用于服务器和桌面Linux系统,不过显而易见,装在服务器里能造成的危害要大得多。它能直接嗅探出服务器上连接的所有用户的流量。

泄漏的OutlawCountry文档里,写着这个内核模块名为nf_table_6_64.ko,哈希值是2CB8954A3E683477AA5A084964D4665D。隐藏的netfilter表默认名字叫dpxvke8h18。

OutlawCountry是维基解密曝光的CIA泄漏黑客军火库的第十三批文档,之前的大家可以看嘶吼过去的报道

源链接

Hacking more

...