E安全7月7日讯  维基解密于美国时间7月6日再度公开两份关于CIA Vault 7机密项目的文件——分别为BothanSpy(博萨间谍)与Gyrfalcon(矛隼)。这两个项目描述了如何利用“植入物”对SSH凭证进行拦截与渗透，且能够针对不同操作系统使用不同的攻击向量。

E安全百科：SSH 为 Secure Shell 的缩写，由 IETF 的网络小组（Network Working Group）所制定；SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix，以及其他平台，都可运行SSH。

BothanSpy是专门针对微软Windows平台之上SSH客户端程序Xshell的植入物，负责对全部活动SSH会话的用户凭证进行窃取。在使用经密码认证的SSH会话或用户名时，这类凭证为用户名及密码; 而在使用SSH公钥验证时，此类凭证则为SSH私钥及密钥密码的文件名。BothanSpy能够将提取到的凭证回传至CIA控制的服务器端（意味着该植入物不会触及目标系统中的磁盘），或者将其保存在加密文件当中，以便后续利用其它方式进行渗透。BothanSpy在目标设备上作为Shellterm 3.x扩展进行安装。

针对Linux的Gyrfalcon

Gyrfalcon 则是一种针对Linux平台（包括CentOS、Debian、RHEL、SUSE以及Ubuntu等）上OpenSSH客户端的植入物。该植入物不仅能够窃取活动SSH会话中的用户凭证，同时还可收集全部或者部分OpenSSH会话流量。所有收集到的信息皆被保存在一个加密文件之内以备后续渗透。此植入物利用一款由CIA开发且针对目标设备的root工具包（JQC/KitV）实现安装与配置。

维基解密自三月以来公开的CIA工具

下面是E安全整理的维基解密自今年3月以来披露发布的CIA工具，点击即可查看：

• BothanSpy（“博萨间谍”，针对Windows SSH客户端程序）；

• Gyrfalcon （“矛隼”，针对Linux SSH客户端程序）；

• OutlawCountry（“法外之地”，入侵运行有Linux操作系统的计算机）；

• Elsa（“艾尔莎”，利用WiFi追踪电脑地理位置）；

• Brutal Kangaroo（“野蛮袋鼠”，攻击网闸设备和封闭网络）；

• Emotional Simian（“情感猿猴”，针对网闸设备的病毒）

• Cherry Blossom （“樱花”，攻击无线设备的框架）；

• Pandemic（“流行病”，文件服务器转换为恶意软件感染源）；

• Athena（“雅典娜”，恶意间谍软件，能威胁所有Windows版本）；

• AfterMidnight （“午夜之后”，Winodws平台上的恶意软件框架）；

• Archimedes（“阿基米德”，中间人攻击工具） ；

• Scribbles（CIA追踪涉嫌告密者的程序）；

• Weeping Angel （“哭泣天使”，将智能电视的麦克风转变为监控工具）；

• Hive （“蜂巢”，多平台入侵植入和管理控制工具）；

• Grasshopper（“蝗虫”，针对Windows系统的一个高度可配置木马远控植入工具）；

• Marble Framework （“大理石框架”，用来对黑客软件的开发代码进行混淆处理、防止被归因调查取证）；

• Dark Matter（“暗物质”，CIA入侵苹果Mac和iOS设备的技术与工具）
  

07