Wikileaks, 윈도우와 리눅스 PC들에서 SSH 계정을 훔치는 CIA 임플란트 공개

Wikileaks Unveils CIA Implants that Steal SSH Credentials from Windows & Linux PCs

Wikileaks가 Vault 7의 일환으로 다른 공격 벡터를 사용해 윈도우와 리눅스 OS에서 SSH 크리덴셜에 인터셉트하고 추출할 수 있도록 허용하는 두 개의 CIA 툴들을 발표했습니다. 이번이 15번째 발표입니다.

Secure Shell 또는 SSH는 안전하지 않은 네트워크를 통해 안전하게 서버와 장비들에 원격으로 로그인 하는데 사용 되는 암호화 네트워크 프로토콜입니다.

BothanSpy는 마이크로소프트 윈도우 Xshell 클라이언트용 프로그램이며, Gyrfalcon은 CentOS, Debian, RHEL(Red Hat), OpenSUSE, Ubuntu를 포함한 다양한 리눅스 배포판에서 OpenSSH 클라이언트를 타겟으로 합니다.

이 두가지 툴 모두 모든 활성화 된 SSH 세션에 대한 사용자의 계정을 훔쳐 CIA가 제어하는 서버로 전송합니다.

BothanSpy – 윈도우 OS용 프로그램

BothanSpy는 타겟 장비에서 Shellterm 3.0 프로그램으로 설치 되어 있으며, Xshell이 활성화 된 세션에서 실행 중인 경우에만 동작합니다.

Xshell은 동적 포트 포워딩, 사용자 키 매핑, 사용자 정의 버튼들, VB 스크립팅을 포함한 업계 최고의 기능을 제공하기 위해 SSH, SFTP, TELNET, RLOGIN, SERIAL을 지원하는 강력한 터미널 에뮬레이터입니다.

유출 된 CIA 사용자 매뉴얼에서는 “윈도우 x64버전을 사용하는 타겟을 대상으로 BothanSpy를 사용하려면, 사용 중인 로더가 Wow64 인젝션을 지원해야한다.”

“Xshell은 x86 바이너리로 제공 되기 때문에, BothanSpy는 x86으로만 컴파일 된다. Shellterm 3.0+은 Wow64 인젝션을 지원하며, Shellterm은 강력히 추천 된다.”고 밝혔습니다.

Gyrfalcon – 리눅스 OS용 프로그램

Gyrfalcon은 지속적으로 접근하기 위해 CIA가 개발한 JQC/KitV 루트킷을 사용하여 리눅스 시스템(32 또는 64비트 커널)을 타겟으로 합니다.

Gyrfalcon은 OpenSSH 세션 트래픽의 전체 또는 일부분을 수집하고, 추후 추출을 위해 암호화 된파일 내의 훔친 정보를 저장하는 것도 가능합니다.

Gyrfalcon v1.0의 사용자 매뉴얼에서는 “이 툴은 자동화 된 방식으로 실행 됩니다. 사전에 구성되었으며, 원격 호스트에서 실행 된다.”

“운영자는 나중에 돌아와 gyrfalcon이 수집한 모든 파일을 디스크에 쏟아내도록 명령한다. 그리고 운영자는 해당 수집 파일을 복호화 하고, 수집한 데이터를 분석한다.”고 되어있었습니다.

Gyrfalcon v2.0에서는 이 프로그램이 “암호화 된 설정 파일과 함께 타겟 플랫폼에 업로드 되어야 하는 두 개의 컴파일 된 바이너리들”로 구성되어 있다고 말합니다.

“Gyrfalcon은 로컬 운영자 컴퓨터와 타겟 플랫폼 사이의 어떠한 통신 서비스도 제공하지 않는다. 운영자는 타겟 플랫폼에 이 파일 3개를 업로드하기 위해 써드파티 어플리케이션을 사용해야 한다.”고 밝히고 있습니다. 

출처 :

http://thehackernews.com/2017/07/ssh-credential-hacking.html