本文讲的是CIA怎么监控黑掉的Linux服务器?用流量劫持,
维基解密这两天公布了一份新的CIA泄漏恶意软件文档,它介绍了CIA专为Linux系统打造的持久性控制工具——OutlawCountry。
软件文档的日期显示为2015年6月4日,里边详细讲述了OutlawCountry的功能:Linux 2.6内核模块,可以将目标Linux设备上的流量重定向到攻击者指定服务器。
OutlawCountry需要系统root权限和shell访问权限,这说明在部署之前,CIA肯定还有一套可以黑掉Linux系统的方法。
重定向传出的网络流量
OutlawCountry使用Linux系统内置的包过滤工具,比如netfilter或iptable。它怎么工作呢?
运行时,模块会创建一个名字难以辨识的netfilter表,然后使用iptables命令设置特定规则。这组规则比现有规则优先级更高,只有管理员才能看到,而且他得认出来。当攻击者删除模块时,相关表也会被删除。
OutlawCountry 1.0里有一个适用于64位CentOS/RHEL 6.x的内核模块,它只在默认内核下工作,并只支持在PREROUTING链添加隐蔽的DNAT规则。
Linux服务器里的间谍工具
OutlawCountry适用于服务器和桌面Linux系统,不过显而易见,装在服务器里能造成的危害要大得多。它能直接嗅探出服务器上连接的所有用户的流量。
泄漏的OutlawCountry文档里,写着这个内核模块名为nf_table_6_64.ko,哈希值是2CB8954A3E683477AA5A084964D4665D。隐藏的netfilter表默认名字叫dpxvke8h18。
原文发布时间为:2017年7月2日
本文作者:longye
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。