CIA怎么监控黑掉的Linux服务器？用流量劫持

本文讲的是 CIA怎么监控黑掉的Linux服务器？用流量劫持，

维基解密这两天公布了一份新的CIA泄漏恶意软件文档，它介绍了CIA专为Linux系统打造的持久性控制工具——OutlawCountry。

软件文档的日期显示为2015年6月4日，里边详细讲述了OutlawCountry的功能：Linux 2.6内核模块，可以将目标Linux设备上的流量重定向到攻击者指定服务器。

OutlawCountry需要系统root权限和shell访问权限，这说明在部署之前，CIA肯定还有一套可以黑掉Linux系统的方法。

重定向传出的网络流量

OutlawCountry使用Linux系统内置的包过滤工具，比如netfilter或iptable。它怎么工作呢？

运行时，模块会创建一个名字难以辨识的netfilter表，然后使用iptables命令设置特定规则。这组规则比现有规则优先级更高，只有管理员才能看到，而且他得认出来。当攻击者删除模块时，相关表也会被删除。

OutlawCountry 1.0里有一个适用于64位CentOS/RHEL 6.x的内核模块，它只在默认内核下工作，并只支持在PREROUTING链添加隐蔽的DNAT规则。

Linux服务器里的间谍工具

OutlawCountry适用于服务器和桌面Linux系统，不过显而易见，装在服务器里能造成的危害要大得多。它能直接嗅探出服务器上连接的所有用户的流量。

泄漏的OutlawCountry文档里，写着这个内核模块名为nf_table_6_64.ko，哈希值是2CB8954A3E683477AA5A084964D4665D。隐藏的netfilter表默认名字叫dpxvke8h18。

原文发布时间为：2017年7月2日

本文作者：longye

本文来自云栖社区合作伙伴嘶吼，了解相关信息可以关注嘶吼网站。

原文链接