【下载】维基解密第14批 法外之地“OutlawCountry”项目 用于远程入侵Linux系统

维基解密近日又发布了一批新的文档，其中详细介绍了CIA入侵Linux系统的工具，法外之地“OutlawCountry”。相关文档称，“OutlowCountry”工具的原理是将目标Linux计算机上的全部出站网络流量，重新定向至CIA控制下的系统当中，从而获取 exfiltrate 及 infiltrate数据

该工具包含一个面向Linux 2.6的内核模块，CIA黑客通过shell访问目标系统从而完成该模块的加载，但该工具的局限在于只适用于部分特定Linux内核，具体兼容版本如下：

• (S//NF)目标计算机必须运行在64位CentOS或者RHEL 6.x（Kernel版本2.6.32）
• (S//NF)操作人员必须有目标设备的shell接入方式
• (S//NF)目标设备必须具有“NAT”网络过滤表

该模块允许为目标Linux用户创建一套隐藏且不具备明确名称的 Netfilter表。

OutlawCountry用户手册指明：

OutlawCountry工具由面向Linux 2.6的内核模块构成。操作人员可通过shell接入目标计算机实现该模块的加载。当加载后，该模块创建一个新的且不具备明确名称的网络过滤表。

这份新表允许使用‘iptables’命令创建特定规则。这些规则优先于现有规则，且如果表名称已知，则只有管理员可以进行查看。当操作人员移除该内核模块时，该新表也将被一并移除。

在下图中，CIA操作人员将”OutlawCountry”加载到了目标（TARG_1）当中，并随后添加了多项隐藏的iptables规则以修改东西流量。举例来说，原本应由WEST_2路由至EAST_3的数据包有可能被重新定向至EAST_4。

这份手册并没有提及与攻击者如何将该内核模块注入至目标Linux操作系统。根据推测，网络间谍人员可能利用了多种武器库内的黑客工具及安全漏洞入侵运行有Linux操作系统的目标设备。（小编这里插一句： NSA在Github上建立主页 开放了32个项目 selinux项目多年前就是Linux内核的一部分 ）

OutlawCountry只包含一个针对64位CentOS/RHEL 6.x系统的内核模块，这意味着其可能只会被注入至默认Linux内核当中。维基百科透露的用户手册中还指明

(S//NF)OutlawCountry 1.0版本中包含了一个针对64位CentOS/RHEL 6.x系统的kernel内核模块。该模块只工作在默认的内核上。

另外，OutlawCountry v1.0只支持向PREROUTING链添加DNAT规则。

几天之前，维基解密曾经发布了一份文档解密了CIA的另外一个工具Elsa——通过连接WiFi的设备追踪地理位置。Elsa具备地理特性，他可以扫描Wifi接入点后记录详细信息，例如ESS标识符，MAC地址以及在特定间隔的信息强度。

下述是维基解密自今年3月以来披露发布的CIA工具：

• “元年”（Year Zero）：揭示CIA用于入侵主流硬件和软件的恶意程序。
• “哭泣天使”（Weeping Angel）：揭示一种间谍工具，可使CIA入侵智能电视，将其变成隐蔽的麦克风。
• “暗物质”（Dark Matter）：揭示CIA为入侵iPhone手机和Mac电脑而创建的恶意程序。
• “玻璃球”（Marble）：揭示秘密的反取证框架的源代码。该框架是一种混淆器或打包工具，由CIA用于隐藏其恶意软件的真实来源。
• “蚱蜢”（Grasshopper）：揭示一种可使CIA很容易地创建入侵微软Windows系统，绕过其防病毒措施的框架。
• “涂鸦”（Scribble）：揭示一种宣称用于将“网络信标”嵌入机密文档，允许间谍机构跟踪知情人和检举者的软件。
• 午夜之后的暗杀者（AfterMidnight）： 维基解密又公布CIA的两个Windows恶意软件框架 主要用于监控及执行命令
• 雅典娜（Athena） 【下载】维基解密第9批 这次是Athena/Hera的间谍软件框架 解密CIA攻击中使用的信标Beacon
• “大流感”（Pandemic）： 【下载】维基解密第10批 这次是Pandemic植入项目 用于在本地网络中植入感染源
• “樱花”（ Cherry Blossom ）： 【下载】维基解密第11批 这次是樱花Cherry Blossom框架 用于入侵200多款无线设备

• 残暴袋鼠（ Brutal Kangaroo ） 【下载】维基解密第12批 这次是残暴袋鼠Brutal Kangaroo项目 利用U盘突破隔离网络

• 艾尔莎（ ELSA malware ）– 28 June, 2017

法外之地“OutlawCountry”项目用户手册

点击这里下载

原文发布时间：2017年7月3日

本文由：securityaffairs发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/cia-outlawcountry-hack-linux

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站