포스팅 내용

국내외 보안동향

Linux디바이스를 원격해킹할 수 있는 CIA 새로운 툴 OutlawCountry공개!

Wikileaks Reveals CIA Malware that Hacks & Spy On Linux Computers


Linux디바이스를 원격해킹할 수 있는 CIA 새로운 툴이 공개되었습니다.

이 툴은 OutlawCountry라 명명되었으며, 해당 툴을 이용하면 타겟 디바이스 상의 모든 트래픽을 CIA 컨트롤 디바이스로 리다이렉션 시킬 수 있습니다.


OutlawCountry 툴에는 커널 모듈을 포함하고 있으며, CIA 해커는 shell을 통하여 타겟 시스템에 해당 모듈을 로드하고, 목표 linux 호스트에 Netfilter라는 테이블을 가진 표를 생성합니다.


"새로운 테이블은 iptables명령을 이용하여 새로운 룰을 만들 수 있다. 이 룰들은 우선순위가 기존에 있던 룰 보다 높으며, 관리자가 해당 테이블 명을 알고 있어야만 발견을 할 수 있다. 해커가 내부 모듈을 제거할때, table도 함께 제거 된다"라고 가이드 라인에 언급되어 있습니다.


가이드라인에는 설치방법과 시스템 상에 어떻게 머무르는지 언급되 있지는 않습니다.

하지만 추측하건데, 지금까지 공개된 취약점 툴과 백도어를 이용하여 지정된 Linux 시스템에 커널 모듈을 인젝션 했을 것으로 추정됩니다.


이 툴은 몇가지 제한점이 있습니다.


"OutlawCountry 1.0버전은 6.4bit CentOS/RHEL 6.x 커널모듈을 타겟으로 하며, 이 모듈들은 기본 커널 모드에서만 동작합니다. 또한 OutlawCountry v1.0은 PREROUTING중 DNAT규칙을 추가해야만 지원이 가능하다"라고 위키리크스에서는 언급하고 있습니다.


OutlawCountry와 관련된 상세한 내용은 다음에서 참고하실 수 있습니다.






출처 :
http://thehackernews.com/2017/06/cia-linux-hacking-tool-malware.html

티스토리 방명록 작성
name password homepage