簡要分析Hacking Team遠程控制系統
責編:admin |2015-07-13 15:08:55這是一份快速報告,以便簡要分析其中的核心內容,Hacking Team RCS(遠程控制系統)。在后續的報告中,我們將會對此次事件進行深入分析,并給出應對方案。
泄露:Hacking Team
7月5日晚,一家意大利軟件廠商被攻擊,其掌握的400GB漏洞(包括0day)數據泄露出來,由此可能引發的動蕩,引起了業界一片嘩然。數據包中主要包含幾個大的部分:
遠程控制軟件源碼,也是其核心,暫且稱之為 Hacking Team RCS
反查殺分析工具及相關討論文檔
0Day、漏洞及相關入侵工具
入侵項目相關信息,包括賬戶密碼、數據及音像資料
辦公文檔、郵件及圖片
其他
Hacking Team
Hacking Team在意大利米蘭注冊了一家軟件公司,主要向各國政府及法律機構銷售入侵及監視功能的軟件。其遠程控制系統可以監測互聯網用戶的通訊、解密用戶的加密文件及電子郵件,記錄Skype及其他VoIP通信,也可以遠程激活用戶的麥克風及攝像頭。其總部在意大利,雇員40多人,并在安納波利斯和新加坡擁有分支機構,其產品在幾十個國家使用。
分析:遠程控制系統
大家知道IT運維管理中常常用到遠程控制軟件,比如Dameware,但Hacking Team RCS相比市面上常見的遠程控制軟件而言,主要區別如下:
1、系統化管理該軟件從入侵到目標信息收集分析,有完整的體系架構
2、這個架構中有不同的功能模塊,彼此之間相互配合,完成入侵、安裝、信息搜集、監控、集中管理等功能。
3、收集信息該軟件在后臺收集并上傳目標用戶的信息,包括各類數據、圖片、影音等
4、入侵工具配合該軟件有各種漏洞、利用手段及自動化工具,以便在目標上強制安裝Agent
5、適應能力強桌面OS從Windows到MacOs X,手機OS基本覆蓋了市場上流行的系統
6、反追蹤該軟件本地及傳播過程數據均加密,讓追蹤者難以找到攻擊者
7、反卸載反查殺該軟件Agent不提供卸載方式,并采用各種手段躲避殺毒軟件
Hacking Team RCS系統架構
RCS (Remote Control System)系統是一套用于政府攔截的黑客套件,實現了全平臺的監控系統。
RCS主要組件
[Hacking Team遠程控制系統]
每一塊組件具體的功能如下,
Front-End:接收運行在被截取設備上的代理,作為Back-End的隔離屏障,保證RCS安裝的安全性。系統要求是Windows 2003 or 2008。
Back-end:是整個設施的核心,它存儲所有從代理收集到的數據同時處理從管理控制臺傳來的請求。所有的RCS數據存儲里面一個標準的關系型數據庫,因此該服務還提供額外的功能,比如根據客戶的要求實現自動備份和定制數據挖掘。系統要求是Windows 2003 or 2008。
Management console:RCS的控制臺是用于訪問和控制所有的遠程控制系統(RCS)功能的應用程序。Operators可以授予系統不同等級的訪問權限:Admin可以創建用戶和組,授予權限,管理調查,審核系統;Technician是創建目標感染、配置/重新配置代理行為的載體;Viewer瀏覽來自target的信息,對其進行分類或者輸出。系統要求是Windows, MacOS X or Linux。
Target:RCS Agent是監視目標計算機或智能手機上的軟件組件。一旦安裝成功,Agent將會通過設備的網絡將收集到的數據傳送到Front-End,這些數據有很多種類,比如屏幕截圖、電話呼叫等。
RCS Agent有兩種安裝方式:本地以及遠程。本地安裝主要是通過桌面系統的CD和USB存儲設備來引導,或者是智能手機的usb。遠程安裝則通過Melting tool、Exploit portal、Network Injector以及Remote Mobile Installation。而且每個RCS Agent都可以通過遠程命令卸載。
RCS Agents的系統要求:
Windows XP, Vista, 7 (32/64 bit)
MacOs X 10.6 Snow Leopard, 10.7 Lion
Windows Mobile 6, 6.5
iOS 3, 4 (iPhone/iPad)
Symbian S60 3rd and 5th edition
BlackBerry 4.5 or newer
Anonymizers目的是隱藏Front End真實IP地址,由于Anonymizers之間的連接數據被完全加密而且沒有解密數據,所以可以被放置在任何非信任的網絡和國家。
Collection Node 信息搜集功能是通過Collection Node來完成的客戶端上傳信息的搜集,并且允許客戶端從服務器上下載新的配置和插件,這個節點是通過提供ASP服務完成交互的。這個節點是整個控制系統唯一能從外部進行訪問的節點,因此對它的保護也非常關鍵,比如使用防火墻等措施進行一定的隔離,也需要使用到Anonymizer 鏈來對ASP真實的IP地址進行隱藏。
RSSM(Mobile Collection Node)作為Collection Node的一個補充,通過藍牙等手段完成Collection Node的功能,并且該節點也會和Collection Node完成同步的過程。
Log Repository Log Repository(RCSDB)是RCS系統的存儲部件,存儲信息包括:
訪問過的網站
文件操作
鍵盤記錄
文檔和圖片信息
VoIP電話監控(例如skype)
程序執行信息
音頻監視
Web攝像頭監視
截屏
即時通信(Skype、WindowsLiveMessenge、Wechat等)
剪貼板的信息
密碼信息(email賬戶、WindowsLive賬戶等)
發送和接收郵件
電話錄音
GPS位置
聯系人信息
從上面的分析可以看出來,這一次泄露的Hacking Team的各種程序中,比較完整的涵蓋了實施攻擊各個階段需要用到的一些控制和利用工具,針對其中的一些較為經典的代碼,我們經過研究,給出這些工具包的功能,對使用范圍做了大致的描述。在這一套RCS里,針對電話、pc、網絡均進行了控制和信息搜集。
Hacking Team RCS基本功能
電話監控
針對電話監控,開發了針對不同平臺的agent程序,下面是一份列表
core-winphone:針對 Windows Phone 移動平臺的遠程控制木馬客戶端,用于實時收集目標系統狀態信息,GPS,通訊錄,通話短信記錄,日歷日程安排等隱私信息,還可以執行錄音,截取手機屏幕等定時任務,具有遠程打開手機攝像頭,開啟話筒等功能。
core-winmobile:針對已經過時的 Windows Mobile 移動平臺的遠程控制木馬客戶端。也是用于收集目標隱私信息,且具有遠程控制收集錄音,截屏等功能。
core-symbian:針對 Symbian 移動平臺的遠控木馬代理,用于收集GPS位置,通訊記錄,短消息等敏感記錄,并可遠程實時監聽話筒等功能。
core-android-audiocapture:安卓平臺下的語音監聽工具,通過注入AudioFlinger相關進程達到記錄麥克和聽筒音頻的功能。整個工具包含注入工具hijack、被注入的庫libt.so,注入后會記錄音頻信息到dump文件,黑客通過decoder.py腳本可以將dump文件還原成wav文件。可以在安卓3.x到4.x下運行。
core-android:一個安卓下的RCS應用,應該是功能比較完善的工具,可以收集社交軟件的信息,應用中還打包了許多利用工具
core-blackberry:是黑莓下的RCS軟件。
桌面系統監控
core-macos:其中包含一個用于Max OS X 平臺可執行文件 macho 文件的加殼加密混淆程序。同時還包含針對 Mac OS X 平臺的遠程控制木馬客戶端程序,用于收集目標系統網絡連接,文件系統等信息,還可以竊取iMessage,Skype,剪貼板等應用的敏感信息,同時還可以鍵盤記錄,截屏,打開攝像頭等。
core-win32:windows平臺木馬,主要功能包括:1.竊取主流瀏覽器如Chrome、FireFox和IE 的Cookies等信息2.對用戶GMail、Outlook、Facebook、Twitter、MSN、Skype、ICQ、Yahoo、Google Talk、Mozilla Thunderbird等使用進行監控,收集相關信息收集如:帳號信息、相關聯系人信息等。監控的MSN版本從6.0到2011,Yahoo Messager版本從7.x到10.x,ICQ Messenger v7.x 3.對麥克風和攝像頭進行監控
core-win64:和core-win32對應,同樣是windows平臺木馬,但項目只是包含了64位系統特有的api hook框架。
soldier-win:windows平臺木馬,功能包括:獲取目標計算機基本信息竊取瀏覽器chrome、firefox、IE密碼和cookies竊取facebook、gmail、twitter、Yahoo相關信息屏幕監控、攝像頭監控等
scout-win:windows平臺木馬,功能相對簡單:screenshot、獲取目標計算機的基本信息如:CPU,內存,用戶名等信息。具有少量簡單的反檢測機制,如AntiVM、動態獲取API地址、黑名單等。子項目VMProtectDumper是針對某一版本VMProtect的脫殼機
輔助入侵功能
為了在target上安裝受控端軟件并獲取主機控制權,還有提供了一些必要的功能
driver-macos:包含一個 Mac OS X 平臺的內核級 Rootkit ,具有用戶進程隱藏,文件系統隱藏等功能,還可以 hook 系統調用, mach_trap_table ,并實時追蹤用戶空間后門的運行狀態。
core-packer:用于Windows 平臺 PE 可執行文件的加殼,加密混淆程序。
core-android-market:應該是安卓下的類似推送新聞的應用,包括一個名為org.benews.BeNews的安卓端的apk應用和本地運行的server,通訊數據為bson格式。apk應用具有自啟動功能,會啟動推送服務
core-android-native:卓相關利用工具的集合,包含了所有安卓4.1版本以前的利用工具,包括了put_user_exploit、towelroot中的利用工具、selinux的利用工具等
vector-ipa:ipa是 Injection Proxy Appliance 的縮寫, Injection Proxy Appliance是RCS系統一部分。
(1)RCS Injection Proxy Appliance (RCS IPA)是用于攻擊的安全設備,使用中間人攻擊技術和streamline injection機制,它可以在不同的網絡情況下透明地進行操作,無論是在局域網還是內部交換機上。
(2)IPA 可從監控的網絡流量中檢測HTTP連接,進行中間人攻擊,主要有三種攻擊方式:注入EXE, 注入html和替換攻擊。當監控的HTTP連接命中預先設置的規則時,IPA 將執行注入攻擊。IPA 可以設置需要注入的用戶(如IP地址),資源(如可執行文件)等規則。
driver-win32:core-win32對應的內核驅動模塊,提供功能諸如:權限提升、操作敏感注冊表、恢復SSDT等。
driver-win64:相對32位版本的驅動,只是注釋掉了很多功能代碼。
vector-silent:木馬輔助程序:Dropper和depacker
vector-applet:應該是用于掛馬的Java Applet。使用的有可能是未知漏洞,漏洞在twostage和weaponized文件夾下的readme中油描述,”通過XMLDecoder獲取一個Bridge實例的引用,從而導致一個類混淆”。
vector-edk:Intel UEFI(統一可擴展固件接口)BIOS后門植入工具
vector-offline2:離線安裝RCS工具包,可在物理接觸時植入RCS后門。 可將離線安裝工具刻錄在CD-DVD/USB等可引導介質上,當可物理訪問到計算機系統時,可利用該介質啟動系統,將后門直接植入計算機中的操作系統中。目前支持對Linux/OS X/Windows系統的離線安裝。提供了友好的圖形界面,可自動識別計算機上存在的不同操作系統,并可識別每個操作系統上存在的用戶,然后可針對不同用戶分別植入不同類型的后門。
vector-offline:Windows版的離線安裝工具源碼。
vector-recover:一個Windows版的下載器。下載器本身會修改圖標和版本信息,將自己偽裝成東芝的藍牙助手工具:btassist.exe。下載器本身會循環訪問兩個地址的固定URL:GET /gh/3735928545/deadbee2判斷下載數據的前32字節是否是”3j9WmmDgBqyU270FTid3719g64bP4s52″,如果是的話會從第33字節開始保存后續數據到臨時目錄下的msupd64.exe文件中,然后執行該文件。
vector-rmi:一個發送WAP PUSH信息的命令行工具,可以將鏈接以短信形式發送到支持WAP PUSH功能的手機上。可自定義各種參數。
Hacking Team RCS入侵手段
Hacking Team RCS軟件入侵目標,主要通過如下三種方式:
感染移動介質
與很多木馬、病毒及流氓軟件的傳播方式一樣,該軟件首先還是采取這種低成本的方式進行,感染一些能夠接觸目標的移動媒體,比如CD-ROM、USB等,即便是OS 或者BIOS設置了密碼也一樣可以感染,從而獲取一些環境數據,比如電腦是否可以上網等,為后續的動作提供參考依據。
代理攻擊
采用軟件或硬件的系統,能夠在網絡會話過程中修改和注入數據,在某些情況下,可以注入到系統并難以被檢測到。同時,也能夠感染Windows平臺上的可執行文件,如果目標電腦從網站上下載并執行這些可執行文件時,Agent將在后臺自動安裝,用戶不會知曉。
APT
如上兩種方式都無法奏效的時候,就會采用多種形式組合入侵,采用相關的漏洞、入侵工具及更多利用手段,詳細的分析及防護方案,在后續的報告中呈現。
Hacking Team RCS信息上傳
用于搜集客戶端搜集信息的上傳通道,是一個強加密和需要認證的通信過程,同時整個上傳通道的設計是基于復雜網絡環境的,考慮到防火墻、帶有域認證功能的代理等等,會通過模仿一個正常用戶瀏覽web的過程來進行這一些操作。
信息搜集功能是通過Collection Node來完成的客戶端上傳信息的搜集,并且允許客戶端從服務器上下載新的配置和插件,這個節點是通過提供ASP服務完成交互的。這個節點是整個控制系統唯一能從外部進行訪問的節點,因此對它的保護也非常關鍵,比如使用防火墻等措施進行一定的隔離,也需要使用到Anonymizer 鏈來對ASP真實的IP地址進行隱藏。
RSSM(Mobile Collection Node)作為Collection Node的一個補充,通過藍牙等手段完成Collection Node的功能,并且該節點也會和Collection Node完成同步的過程。