Sábado, Mayo 08, 2021

OutlawCountry: un exploit de la CIA para sistemas Linux

secret

Si hay que reconocerle algo a la CIA o la NSA a la hora de crear exploits, es su originalidad con los nombres. Una muestra de ello es el último que ha revelado la gente de Wikileaks, en su particular colección de Vault 7: se llama Outlaw Country y está dirigido a sistemas GNU/Linux.

Outlaw Country es un módulo para el núcleo de Linux desarrollado por la CIA, que una vez implantado puede redirigir todo el tráfico, tomando preferencia sobre las reglas de los iptables (el firewall incluido por defecto en el kernel) al crear una tabla oculta en el framework netfilter. Algo difícil de detectar por el administrador del sistema, al menos que sepa el nombre de esa nueva tabla.

El implante se realiza a través de una utilidad en linea de comandos llamada insmod, diseñada para insertar módulos en el núcleo de Linux (aunque eso es algo que seguramente modprobe hace mejor).

Entonces sería de cuestión de tirar de iptables y establecer las nuevas reglas de tráfico de datos. Después para comprobar que todo funciona correctamente, se pueden utilizar herramientas como netcat.

Una vez cumplido su objetivo, se puede borrar toda traza en el sistema de Outlaw Country utilizando rmmod, un programa que sirve para eliminar modulos previamente cargados en el kernel y que permitiría eliminar esa tabla oculta de netfilter creada con anterioridad.

OutlawCountry en su versión 1.0 es unicamente compatible con CentOS y RHEL (6.x) y con versiones del kernel estándar (Linux 2.6). Maldita dispersión de esfuerzos, así no hay manera de dar soporte…

Ademas el atacante debe tener acceso a la shell del sistema y privilegios de root (casi nada).

Aunque bastante “prometedor” el programa, también tiene sus problemas de persistencia (por ej. si se reinicia el servicio de iptables) y de configuración, estableciéndose las reglas DNAT unicamente mediante la cadena PREROUTING.

En la web de wikileaks encontraréis más información sobre el tema, incluyendo un manual de uso. A la hora de escribir esto, el código de OutlawCountry no estaba disponible para su estudio o descarga. Aunque dada la tendencia que están teniendo los servicios secretos estadounidenses, de perder sus herramientas de hacking, posiblemente no tarde en aparecer.

Sería un detalle de la CIA que lo liberara bajo licencia libre (a fin de cuentas es un módulo del kernel), a ser posible actualizado a la última.

En cualquier caso los outlaw (fuera de la ley) linuxeros le agradecemos la atención.

 

Fuente: lamiradadelreplicante

¿Quién está en línea?

Hay 181 invitados y ningún miembro en línea

Contador de Visitas

11681426
Hoy Hoy 1358
Ayer Ayer 3807
Esta semana Esta semana 20538
Este mes Este mes 27823
Total de Visitas Total de Visitas 11681426

Día con más
visitantes

04-19-2021 : 3976

Gracias por su visita