El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 09-07-2017 13:01:42

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,258

Gyrfalcon 2.0: Malware en Python de la CIA para romper el SSH en linux

Gryaflcon: un malware diseñado por la CIA en python para recuperar las llaves SSH en distribuciones GNU-Linux

Gryfalcon_3.jpg

  La operación Vault7 de Wikileaks sigue su curso.
El 6 de julio pasado Wikileaks publicó BothanSpy
  Bothanspy es el malware para Windows que se encarga de "romper el SSH" del sistema infectado
  Gryfalcon es la versión para LInux.
No tenemos a todo el código empelado pero el manual de la CIA da todas las pistas para entender lo que ocurre. 
Aquí tenéis a la guía (muy completa): Gyrfalcon 2.0: User Guide
  La guía es para gente "con conocimientos en linux" (tampoco hace falta ser un maestro) y se entiende rápido que gryfalcon es un exploit bastante en "bruto".
Poco sofisticado y bastante desatendido. Muy parecidos a los que empleamos... big_smile
  Requiere una consola remota activa con derechos de administrador para su instalación.
Algo casi imposible lograr en un sistema bien configurado, empleado con cabeza (sin "rootear") y correctamente mantenido.
  Vemos en el manual que hacen referencia varias veces veces a un roo tkit llamado JQC/KitV.
A un momento explican claramente que Gryfalcon está diseñado para aquellos dispositivos que han sido infectados con este root kit

(S//NF) Gyrfalcon  is designed to  execute its collection efforts  against the OpenSSH  client under the protection of the JQC/KitV root kit.  The operator must be familiar with the JQC/KitV root kit on Linuxwhen installing the Gyrfalcon library, application, and configuration file.

Ofuscación

Se hace a manopla... linux será siempre linux incluso si eres agente de la CIA... RTFM! lol

Gryfalcon_1.jpg

  Se trata de mandar el proceso en background,
Significa que el proceso será visible haciendo un listado de los procesos con ps   
  Es una forma primitiva de esconder la actividad del virus.

Más adelante hablan de des-instalar el malware
  Es también un método limitado para "no dejar huellas", haría falta editar sutilmente todos los registros y historiales y  mucho mucho más.
Esta parte es muy instructiva: Vemos los directorios de trabajo escondidos y se confirma que la CIA instala su malware "gracias" a su root kit.:

Gryfalcon_2.jpg

Notad que la CIA usa el directorio /lib64/ (no escondido) para instalar dos objetos compartidos.
   Un directorio muy poco empleando (tengo un solo elemento ahí)

   No tenemos el código así que no sabemos exactamente cómo hacen en detalles para pillar las llaves.
Lo que está claro es que con un root kit instalado y una sesión root activa... es más fácil tongue
  Gyrfalcon 2.0 no es en si el problema, lo que realmente intriga y alarma es el root kit
Notad que el manual es del 2013 y no hay dudas sobre le hecho de que la CIA emplea otras cosas hoy en día.

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Temas similares

Tema Respuestas Vistas Ultimo mensaje
1 69 Hoy 20:42:44 por Xavi
5 59 Hoy 20:32:19 por Xavi
37 2165 Hoy 18:48:38 por ArcángelCaído
9 52 Hoy 18:44:26 por ArcángelCaído
66 2358 Hoy 18:36:59 por ArcángelCaído

Pie de página

Información del usuario

Ultimo usuario registrado: Retsiela
Usuarios registrados conectados: 0
Invitados conectados: 16

Estadisticas de los foros

Número total de usuarios registrados: 1,117
Número total de temas: 1,124
Número total de mensajes: 11,611

Máx. usuarios conectados: 69 el 15-10-2017 09:23:21