Хакер #305. Многошаговые SQL-инъекции
В конце недели Wikileaks уже традиционно публикует новые документы из цикла Vault 7, рассказывая о новых хакерских инструментах и методиках ЦРУ. Напомню, что публикация этого объемного дампа началась еще в марте 2017 года. Архив, содержащий различные подробности работы Центрального разведывательного управления США, был передан в распоряжение Wikileaks неизвестным информатором.
Документы этой недели посвящены инструменту под названием CouchPotato («Лежебока»), и оказавшая в распоряжении Wikileaks инструкция (PDF) датирована февралем 2014 года.
Согласно бумагам, оперативник ЦРУ может запустить CouchPotato, используя интерфейс командной строки, указав URL стрима в формате RTSP (Real Time Streaming Protocol) или H.264 и место для сохранения контента на диске. Инструмент использует FFmpeg и позволяет сохранять трансляцию в формате видеофайла (.AVI) или захватывать лишь некоторые кадры, сохраняя их как изображения .JPG. При этом CouchPotato умеет анализировать картинку и сохранять лишь те кадры, которые существенно отличаются от предыдущих, то есть умеет замечать движение в кадре. Из-за этого в документах содержится предупреждение о том, что инструмент сильно нагружает CPU, оттягивая на себя 50-70% ресурсов системы.
RTSP и H.264 – это форматы, которые чаще всего используются IP-камерами и системами видеонаблюдения для стриминга контента через интернет или в рамках изолированной сети. Документация предполагает, что URL стрима сотрудник ЦРУ знает заранее, но как именно осуществляется проникновение в целевую сеть, не уточняется. Впрочем, из предыдущих публикаций цикла Vault 7 известно, что недостатка в эксплоитах и малвари ЦРУ не испытывает.
При этом сам CouchPotato предназначен для скрытной работы и поддерживает лоадер ICE v3 "Fire and Collect", который предназначен для исполнения кода в памяти (in-memory code execution, ICE), то есть во время работы не оставляет никаких следов на жестком диске жертвы.