Bothan Spy窃取SSH密钥攻击企业的死星

在最近的一系列启示中 维基解密,该网站公开了美国顶级外国情报服务机构CIA通常用来攻击Windows和Linux计算机的一组新工具。以著名的《星球大战》角色命名的BothanSpy和Gyrfalcon项目分别用于从Windows和Linux设备拦截和窃取SSH凭据。

根据泄漏的文档,BotanSpy是针对 Xshell的 程序,一个Windows终端仿真器,支持SSH,SFTP,TELNET,RLOGIN和SERIAL。 Xshell的必须具有活动会话,该工具才能窃取凭据。对于经过密码验证的SSH会话,该工具将目标用户名和密码作为目标。对于经过公钥认证的会话,该工具将针对用户名,专用SSH密钥的文件名和密钥密码。

Bothan间谍窃取SSH密钥攻击企业的死星| AppViewX图片

然后,可以通过两种方式检索被盗的凭据:F&C(射击并收集)和F&F(即忘了)。通过在攻击位置复制恶意脚本并在该位置打开外壳,Fire and Collect模式可以将收集的凭据发送到CIA控制的服务器。但是,在F的情况下&C变得不可能,“开火”和“忘记”模式允许攻击者在目标计算机上创建具有收集到的凭据的AES-256加密文件,稍后将对其进行检索。 BothanSpy作为Shellterm 3.x扩展安装在目标计算机上。

就Gyrfalcon项目而言,该工具不仅可以窃取活动证书 OpenSSH的 会话,但也可以捕获全部或部分OpenSSH会话流量。大多数流行的Linux发行版(例如CentOS,Debian,RedHat,openSUSE和Ubuntu)都受到此工具的影响。 Gyrfalcon软件包包含应用程序,库和配置文件,必须以root用户权限安装该文件才能使该工具有效运行。

除了仅记录SSH会话外,Gyrfalcon操作员还可以代表合法用户执行命令,攻击者随后可以使用该命令终止数据收集。收集到的数据被加密并存储在目标计算机的磁盘上,以供以后检索。 Gyrfalcon正在使用CIA开发的rootkit(JQC / KitV)在目标计算机上进行安装和配置,以进行持久访问。

接下来是什么?

我们是否会看到黑客基于这些漏洞构建新的勒索软件?

当然是。

我们是否将修补这些漏洞并保护自己免受将来的攻击?

已知攻击–是的,但是我们无法预测未知攻击的结果。

泄漏的文档对有兴趣增强安全性的企业有好处吗?

答案取决于他们对漏洞的实际了解。

那么,以上攻击有何共同点?

它们全都在SSH和PGP密钥之后。他们可以更改攻击的名称或使用新的漏洞,但是最终,黑客还是在使用SSH密钥来保护您最重要的数据。除非您了解SSH密钥管理,SSH访问可见性和SSH密钥轮换的重要性,否则您将继续容易受到BothanSpies和GyrFalcons以及其他类似攻击的攻击。他们将没收您的敏感数据,除非您准备,否则您将被迫支付巨额赎金以返回。

有什么方法可以防止按键误用?

是。您可以从自动进行SSH密钥管理,维护准确的SSH密钥清单并正确实施SSH密钥合规性开始。

自动化如何保存您的密钥?

防止密钥滥用的一种有效解决方案是频繁的SSH密钥轮换。 SSH密钥倾向于提供对关键系统的永久访问权限,因为它们永不过期。如果您旋转密钥(这意味着您在关键系统上删除并重新设置了密钥),则每次旋转密钥时,黑客都将被迫重新获得访问权限。借助对SSH密钥,PGP密钥和非对称密钥的正确控制和访问可见性,您几乎可以立即跟踪和标记密钥滥用,从而使与SSH密钥相关的任何风险都被淘汰。

在证书流氓之前进行控制!

结论

多于 84%的企业 全球使用SSH。 SSH密钥本质上是通往您的王国的密钥。中央情报局等情报机构开发工具来窃取SSH密钥并收集关键情报也就不足为奇了。但是,当黑客出于恶意少的目的而来时,BotanSpy,GyrFalcon和这些工具的其他变体无疑将通过暴露您的SSH密钥构成严重的安全威胁。您是否要继续使用第三方工具修补所有漏洞?还是,您将集中精力使用有效的SSH密钥生命周期自动化来保护源?决定权在你。

希瓦·库玛(Shiva Kumar)

关于作者

希瓦·库玛(Shiva Kumar)

客户成功架构师

通过设计解决方案并促进对AppViewX平台的更好理解,使客户能够解决业务难题。

阅读更多来自该作者的内容

想要更多精彩的内容?

订阅我们的博客可在收件箱中获取技术提示,行业新闻和思想领导文章!

最受欢迎

| 5分钟阅读

最佳的PKI滑模–以及如何克服它们

| 5分钟阅读

为什么加密对医疗保健行业至关重要

| 2分钟阅读

使用AppViewX进行网络发现

| 4分钟阅读

确保证书基础结构安全的5个步骤

相关文章

| 5分钟阅读

SSH证书及其实际应用

| 4分钟阅读

密钥管理和NIST建议

| 7分钟阅读

2021年值得关注的十大网络安全趋势

在证书流氓之前进行控制!

30分钟现场演示。

阅读更多→