Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보SSH 자격증명을 탈취 하는 CIA 해킹 도구 BothanSpy
작성일 2017-07-21 조회 1790

확인내역

WikiLeaks에서 윈도우(BothanSpy) 및 리눅스(Gylfalcon) 운영체제의 SSH 자격증명을 탈취하는 공격 도구를 공개하였다. BothanSpy는 Windows용 SSH, telnet, rlogin 터미널 에뮬레이터인 Xshell을 대상으로 하는 공격 도구이며 Xshell의 Active SSH 세션을 도용한다.

 

 반면에 Gylfalcon은 centos, debian, rhel, suse, ubuntu 등의 리눅스 플랫폼에서 사용하는 OpenSSH 자격 증명을 도용하는 공격 도구이다.

 

 “Fire and Collect"라는 모드를 사용하면 SSH 자격 증명을 수집하지만 감염된 시스템의 디스크에 데이터를 저장하지 않고 공격자의 서버로 보낸다. "Fire and Forget" 모드는 “Fire and Collect"모드와는 다르게 자격 증명이 디스크의 파일에 기록이 된다. 데이터 저장 및 전송시에는 항상 압축하고 암호화하여 저장하고 이를 보기 위해서는 별도의 CIA 도구가 필요하다.

 

참조

http://www.ibtimes.co.uk/wikileaks-new-dump-reveals-cia-malware-bothanspy-gyrfalcon-targeting-windows-linux-1629326?utm_campaign=/wikileaks-new-dump-reveals-cia-malware-bothanspy-gyrfalcon-targeting-windows-linux-1629326

http://www.securityweek.com/cia-tools-stealing-ssh-credentials-exposed-wikileaks?utm_source=rss&utm_medium=Be+Everywhere&utm_campaign=RSS

https://www.linux.org/threads/cia-programs-to-steal-your-ssh-credentials-bothanspy-and-gyrfalcon.12645/

https://fossbytes.com/bothanspy-gyrfalcon-cia-malware-ssh-hacking-windows-linux/

 

첨부파일 첨부파일이 없습니다.
태그 BothanSpy, CIA, Gyrfalcon