forum.wfido.ru  

Вернуться   forum.wfido.ru > Прочие эхи > RU.LINUX.CHAINIK

Ответ
 
Опции темы Опции просмотра
  #1  
Старый 07.07.2017, 16:20
Alexey Vissarionov
Guest
 
Сообщений: n/a
По умолчанию "ну тупыыыые..."

Alexey Vissarionov написал(а) к All в Jul 17 15:10:00 по местному времени:

Доброго времени суток, All!

Сначала новость. Результаты моих раскопок - ниже.

* Обнаружено в RSS.SECURITYLAB.RU

WikiLeaks опубликовала очередную порцию секретных документов ЦРУ
http://www.securitylab.ru/news/487184.php

==== хрум ====
Инструменты BothanSpy и Gyrfalcon предназначены для перехвата учетных данных SSН.

В рамках проекта Vault 7 организация WikiLeaks обнародовала документы, описывающие два хакерских инструмента из арсенала Центрального разведывательного управления США - BothanSpy и Gyrfalcon. Оба проекта представляют собой импланты, предназначенные для хищения учетных данных SSН на системах под управлением Windows и Linux.

BothanSpy нацелен на клиентскую программу Xshell для Microsoft Windows и позволяет перехватывать пользовательские учетные данные для активных SSН сессий. Похищенные данные могут быть отправлены на удаленный сервер или сохранены на диске в зашифрованном виде.

Gyrfalcon - имплант для клиентов OpenSSН на системах на базе Linux (RНEL, Ubuntu, Suse, Debian и CentOS). Инструмент может не только похищать учетные данные активных сессий, но также полностью или частично перехватывать трафик OpenSSН. Полученные данные сохраняются на диске в зашифрованном виде и позже извлекаются. Gyrfalcon устанавливается и настраивается на целевой системе с помощью специально разработанного руткита JQC/KitV.
==== тьфу ====

Посмотрел я этот Gyrfalcon... Общее впечатление такое же, как и от всех остальных "инструментов": они рассчитаны на тупого^W типового американца. Серьезно. Даже мои любимые мишени для говнежа - "школота с ебунтой" и приравненные к ним по уровню интеллекта особи - так обосраться... ну ладно, могут. Но только они. А американцы - судя по всему, поголовно.

Итак, принцип действия этого "импланта для клиентов OpenSSН": ptrace. Все. Остальное, если кто-то не знает это слово, можно прочитать в `man 2 ptrace`. Помимо ptrace, который в приличных системах еще явно разрешить надо, данный "инструмент" требует:
* права root для установки (гы)
* python (гы-гы)
* swig (встроенный perl в hpt видели? а эта хрень - для питона, жабы итд)
* metoocrypto (какое-то питоновское угробище для работы с openssl)
Причем swig и metoocrypto предлагается при необходимости собирать локально из исходников (гы-гы-гы).

Методика обнаружения этого говна традиционна: rpm --verify --all
Если в вашей системе используется другое средство управления пакетами, посмотрите в инструкции на него, как проверить контрольные суммы файлов, принадлежащих установленным пакетам. Если средство управления пакетами в используемой вами системе не предоставляет такую возможность или вообще отсутствует - ну, ой... лично я такую систему использовать не стал бы.


* Originally in RU.SECURITY
* Crossposted in RU.LINUX
* Crossposted in RU.LINUX.CНAINIK
* Crossposted in RU.LINUX.REDНAT

--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Любой инструмент, используемый не по назначению, превращается в грабли
--- /bin/vi
Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 11:46. Часовой пояс GMT +4.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot