OutlawCounty: la CIA la toma con los linuxeros

De -
http://misionverdad.com/sites/default/files/media/photos/cia.jpg

Parece ser que la CIA no ve con buenos ojos a los Linuxeros y  como hemos visto, el grupo Wikileaks ha dado a conocer una colección llamada Vault 7 entre la que se encuentra este exploit para los sistemas GNU/Linux.

Desenmarañando el exploit se trata de un módulo diseñado para el núcleo de Linux que una vez implantado, es capaz de redirigir el tráfico de la máquina consiguiendo preferencia sobre las reflas de las iptables (el firewall que trae de serie el kernel Linux) creando una tabla oculta en el framework netfilter. Y claro, esto no es facil de detectar, para eso es necesario conocer el nombre de esa tabla impostora.

La infección se realiza mediante una utilidad de la linea de comandos llamada 'insmod' cuya función es la de insertar módulos en el núcleo Linux. Después solo hace falta tirar de iptables y establecer nuevas reglas en el tráfico de datos. Para comprobarlo se puede utilizar netcat para comprobar que todo funciona correctamente.

http://www.securitysift.com/wp-content/uploads/2013/12/win_exploit_3_12.png

Realizada la infección en el sistema, Outlaw Country borra los rastros utilizando rmmod, una herramienta para eliminar modulos (ya cargados) en el kernel y que permite eliminar la oculta tabla de netfilter.
La versión que se ha liberado se trata de la 1.0 y que para tranquilidad de los usuarios domésticos del pingüino o mejor dicho, de distros no corporativas (enfocadas a las empresas) pueden estar tranquilos ya que este exploit es compatible solamente con CentOS y RHEL (6.x) con kernels estándar 2.6

A estos requisitos hay que sumarle que el administrador del sistema debe concederle acceso a la shell del sistema y root. Algo que si quiere pasar desapercibido puede no ser tan sencillo. Esta versión también peca de problemas de persistencia por ejemplo si hay algún problema con las iptables y se reinician o en el proceso de configuración si se establecen las reglas DNAT solamente mediane la cadena 'prerouting'.

http://www.telesurtv.net/__export/1483753289593/sites/telesur/img/multimedia/2017/01/06/1017639865.jpg_1718483347.jpg

En la web de wikileaks encontraréis más información sobre el exploit. Según dijo la CIA, será liberado bajo licencia libre (tiene sentido ya que el kernel está bajo licenica libre). 
No sabemos si hay por ahí ya otra versión más pulida, más fácil de ser introducida y con un alcance a más distros.

Comentarios

Publicar un comentario

Entradas populares de este blog

Clip para desarrolladores: #1 Tipografías

De -
Imagen
Que tal? Aquí member un dia más. Lo siento por no haber subido material estos dias, las classes están dando pequeños quebraderos de cabeza y no pude ponerme manos a la obra, prefiero esperar y subir algo que realmente me gustaría leer antes de subir cualquier cosa. ¡Bueno al grano! Me he animado a abrir una pequeña y modesta sección dentro del blog en el que colocar pequeños consejos o ayudas a los desarrolladores que sigan mi blog. Type-o-matic  Con esta extensión para Mozilla Firefox ( si, uso Firefox) permitirá al usuario identificar las fuentes usadas en cualquier página web que visite o por la que esté navegando casualmente. Si al llegar a una web con varias fuentes, esta extensión las ordena por color y tamaño, práctico. La extensión nos revelará el nombre de la fuente, el tamaño usado, su estilo y sus diferentes variantes, la sombra o el espaciado entre otras cosas. Me parece una herramienta muy útil para los desarrolladores que trabajan en un sitio web por ejemplo y q
Leer más

Rastrear una dirección IP y extraer información

De -
Imagen
   El protocolo de Internet, IP, se encarga de proporcionar a todos los sistemas que se conectan a Internet una dirección asociada con la que poder identificarse ante otros sistemas o servicios en red. Todas estas direcciones se registran en diferentes bases de datos y como vamos a ver, podemos sacar información de alguna de ellas.
Leer más

Kali Linux, ¿Live USB o instalación?

De -
Imagen
  Como ocurre a cualquiera cuando empieza en la seguridad informática, se plantea cual sería la mejor forma de tener al alcance y de forma cómoda sus herramientas de pentesting. Pues bien vamos a plantear las opciones, sus ventajas e inconvenientes para ver cual sería la mejor opción para cada uno. La primera opción sería la ya conocida instalación del sistema operativo. Instalar Kali Linux sería una opción tan válida como otra, tendríamos al alcance y con una simple instalación todas las herramientas de pentesting, pero, al ser un entorno preparado para la seguridad, otras tareas podrían no ser tan cómodas de realizar, instalar otras herramientas como un simple GIMP puede desencadenar en problemas, o tener que realizar un proceso mucho más largo para autorizar la instalación de todas las dependencias. A lo que sumar que la instalación de otras herramientas no crearan conflictos con las aplicaciones preinstaladas en el sistema operativo. Podría ser una buena opción sol
Leer más