Gyrfalcon 2.0: Malware en Python de la CIA para romper el SSH en linux (Pagina 1) / El mundo de las distribuciones GNU-Linux / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 09-07-2017 13:01:42

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,991

Gyrfalcon 2.0: Malware en Python de la CIA para romper el SSH en linux

Gryaflcon: un malware diseñado por la CIA en python para recuperar las llaves SSH en distribuciones GNU-Linux

Gryfalcon_3.jpg

  La operación Vault7 de Wikileaks sigue su curso.
El 6 de julio pasado Wikileaks publicó BothanSpy
  Bothanspy es el malware para Windows que se encarga de "romper el SSH" del sistema infectado
  Gryfalcon es la versión para LInux.
No tenemos a todo el código empelado pero el manual de la CIA da todas las pistas para entender lo que ocurre. 
Aquí tenéis a la guía (muy completa): Gyrfalcon 2.0: User Guide
  La guía es para gente "con conocimientos en linux" (tampoco hace falta ser un maestro) y se entiende rápido que gryfalcon es un exploit bastante en "bruto".
Poco sofisticado y bastante desatendido. Muy parecidos a los que empleamos... big_smile
  Requiere una consola remota activa con derechos de administrador para su instalación.
Algo casi imposible lograr en un sistema bien configurado, empleado con cabeza (sin "rootear") y correctamente mantenido.
  Vemos en el manual que hacen referencia varias veces veces a un roo tkit llamado JQC/KitV.
A un momento explican claramente que Gryfalcon está diseñado para aquellos dispositivos que han sido infectados con este root kit

(S//NF) Gyrfalcon  is designed to  execute its collection efforts  against the OpenSSH  client under the protection of the JQC/KitV root kit.  The operator must be familiar with the JQC/KitV root kit on Linuxwhen installing the Gyrfalcon library, application, and configuration file.

Ofuscación

Se hace a manopla... linux será siempre linux incluso si eres agente de la CIA... RTFM! lol

Gryfalcon_1.jpg

  Se trata de mandar el proceso en background,
Significa que el proceso será visible haciendo un listado de los procesos con ps   
  Es una forma primitiva de esconder la actividad del virus.

Más adelante hablan de des-instalar el malware
  Es también un método limitado para "no dejar huellas", haría falta editar sutilmente todos los registros y historiales y  mucho mucho más.
Esta parte es muy instructiva: Vemos los directorios de trabajo escondidos y se confirma que la CIA instala su malware "gracias" a su root kit.:

Gryfalcon_2.jpg

Notad que la CIA usa el directorio /lib64/ (no escondido) para instalar dos objetos compartidos.
   Un directorio muy poco empleando (tengo un solo elemento ahí)

   No tenemos el código así que no sabemos exactamente cómo hacen en detalles para pillar las llaves.
Lo que está claro es que con un root kit instalado y una sesión root activa... es más fácil tongue
  Gyrfalcon 2.0 no es en si el problema, lo que realmente intriga y alarma es el root kit
Notad que el manual es del 2013 y no hay dudas sobre le hecho de que la CIA emplea otras cosas hoy en día.

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Temas similares

Tema Respuestas Vistas Ultimo mensaje
Pegado:
Pegado:: 1ª Sorteo Del Mercadillo por josep345  [ 1 2 3 ]
69 1008 Ayer 19:58:11 por josep345
Es Necesario Un Chat? por josep345
15 180 Ayer 19:47:26 por josep345
Pegado:
7 613 Ayer 00:20:37 por kcdtv
Me presento por Valkyria
6 72 23-05-2018 13:17:01 por Valkyria
9 6187 23-05-2018 10:36:33 por josep345

Pie de página

Información del usuario

Ultimo usuario registrado: trc1952
Usuarios registrados conectados: 0
Invitados conectados: 6

Estadisticas de los foros

Número total de usuarios registrados: 1,015
Número total de temas: 1,066
Número total de mensajes: 10,486

Máx. usuarios conectados: 69 el 15-10-2017 09:23:21