九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
AI清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划 AI清静 AI清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

简要剖析：Hacking Team 远程控制系统

2015-07-09

宣布者：九游老哥科技

Content

简要剖析 Hacking Team远程控制系统
泄露：Hacking Team
- Hacking Team
剖析：远程控制系统
- Hacking Team RCS系统架构
- Hacking Team RCS基本功效
- Hacking Team RCS入侵手段
威胁情报
关于九游老哥科技

内容导读

7月5日晚，一家意大利远程控制软件厂商HackingTeam的内部数据被泄露出来，其影响力不亚于斯洛登事务及维基解密事务，九游老哥科技威胁响应中心随即启动应急响应事情。

6日，威胁响应中心启动应急剖析事情，九游老哥TAC产品阻挡到Flash 0Day误差攻击；
6日夜，相关信息及起源建议，第一时间见告客户关注；
7日，在官网网站宣布紧迫通告，建议宽大用户关注事务希望。剖析事情希望希望中；
9日，宣布Hacking Team远程控制系统简要剖析报告；

这是一份快速报告，以便简要剖析其中的焦点内容，Hacking Team RCS（远程控制系统）。在后续的报告中，我们将会对此次事务举行深入剖析，并给出应对计划。

泄露：Hacking Team

7月5日晚，一家意大利软件厂商被攻击，其掌握的400GB误差（包括0day）数据泄露出来，由此可能引发的动荡，引起了业界一片哗然。数据包中主要包括几个大的部分：

远程控制软件源码，也是其焦点，暂且称之为 Hacking Team RCS
反查杀剖析工具及相关讨论文档
0Day、误差及相关入侵工具
入侵项目相关信息，包括账户密码、数据及音像资料
办公牍档、邮件及图片
其他

Hacking Team

Hacking Team在意大利米兰注册了一家软件公司，主要向各国政府及执法机构销售入侵及监视功效的软件。其远程控制系统可以监测互联网用户的通讯、解密用户的加密文件及电子邮件，纪录Skype及其他VoIP通讯，也可以远程激活用户的麦克风及摄像头。其总部在意大利，雇员40多人，并在安纳波利斯和新加坡拥有分支机构，其产品在几十个国家使用。

剖析：远程控制系统

各人知道IT运维治理中经常用到远程控制软件，好比Dameware，但Hacking Team RCS相比市面上常见的远程控制软件而言，主要区别如下：

系统化治理该软件从入侵到目的信息网络剖析，有完整的系统架构
- 这个架构中有差别的功效�？�，相互之间相互配合，完成入侵、装置、信息搜集、监控、集中治理等功效。
网络信息该软件在后台网络并上传目的用户的信息，包括种种数据、图片、影音等
入侵工具配合该软件有种种误差、使用手段及自动化工具，以便在目的上强制装置Agent
顺应能力强桌面OS从Windows到MacOs X，手机OS基本笼罩了市场上盛行的系统
反追踪该软件外地及撒播历程数据均加密，让追踪者难以找到攻击者
反卸载反查杀该软件Agent不提供卸载方法，并接纳种种手段逃避杀毒软件

Hacking Team RCS系统架构

RCS (Remote Control System)系统是一套用于政府阻挡的黑客套件，实现了全平台的监控系统。

RCS主要组件

每一块组件详细的功效如下，

Front-End:吸收运行在被截取设惫亓署理，作为Back-End的隔离屏障，包管RCS装置的清静性。系统要求是Windows 2003 or 2008。
Back-end: 是整个设施的焦点，它存储所有从署理网络到的数据同时处置惩罚从治理控制台传来的请求。所有的RCS数据存储内里一个标准的关系型数据库，因此该服务还提供特另外功效，好比凭证客户的要求实现自动备份和定制数据挖掘。系统要求是Windows 2003 or 2008。
Management console:RCS的控制台是用于会见和控制所有的远程控制系统（RCS）功效的应用程序。Operators可以授予系统差别品级的会见权限：Admin可以建设用户和组，授予权限，治理视察，审核系统；Technician是建设目的熏染、设置/重新设置署理行为的载体；Viewer浏览来自target的信息，对其举行分类或者输出。系统要求是Windows MacOS X or Linux。
Target:RCS Agent是监视目的盘算机或智能手机上的软件组件。一旦装置乐成，Agent将会通过装备的网络将网络到的数据传送到Front-End，这些数据有许多种类，好比屏幕截图、电话呼叫等。
- RCS Agent有两种装置方法：外地以及远程。外地装置主要是通过桌面系统的CD和USB存储装备来指导，或者是智能手机的usb。远程装置则通过Melting tool、Exploit portal、Network Injector以及Remote Mobile Installation。并且每个RCS Agent都可以通过远程下令卸载。
- RCS Agents的系统要求：
- Windows XP Vista 7 (32/64 bit)
- MacOs X 10.6 Snow Leopard 10.7 Lion
- Windows Mobile 6 6.5
- iOS 3 4 (iPhone/iPad)
- Symbian S60 3rd and 5th edition
- BlackBerry 4.5 or newer
Anonymizers目的是隐藏Front End真实IP地点，由于Anonymizers之间的毗连数据被完全加密并且没有解密数据，以是可以被安排在任何非信托的网络和国家。
Collection Node 信息搜集功效是通过Collection Node来完成的客户端上传信息的搜集，并且允许客户端从服务器上下载新的设置和插件，这个节点是通过提供ASP服务完成交互的。这个节点是整个控制系统唯一能从外部举行会见的节点，因此对它的�；ひ埠苁且�，好比使用防火墙等步伐举行一定的隔离，也需要使用到Anonymizer 链来对ASP真实的IP地点举行隐藏。
- RSSM(Mobile Collection Node)作为Collection Node的一个增补，通过蓝牙等手段完成Collection Node的功效，并且该节点也会和Collection Node完成同步的历程。
Log Repository Log Repository(RCSDB)是RCS系统的存储部件，存储信息包括：
- 会见过的网站
- 文件操作
- 键盘纪录
- 文档和图片信息
- VoIP电话监控(例如skype)
- 程序执行信息
- 音频监视
- Web摄像头监视
- 截屏
- 即时通讯（Skype、WindowsLiveMessenge、Wechat等）
- 剪贴板的信息
- 密码信息（email账户、WindowsLive账户等）
- 发送和吸收邮件
- 电话录音
- GPS位置
- 联系人信息

从上面的剖析可以看出来，这一次泄露的Hacking Team的种种程序中，较量完整的涵盖了实验攻击各个阶段需要用到的一些控制和使用工具，针对其中的一些较为经典的代码，我们经由研究，给出这些工具包的功效，对使用规模做了大致的形貌。在这一套RCS里，针对电话、pc、网络均举行了控制和信息搜集。

Hacking Team RCS基本功效

电话监控

针对电话监控，开发了针对差别平台的agent程序，下面是一份列表

core-winphone:针对 Windows Phone 移动平台的远程控制木马客户端，用于实时网络目的系统状态信息，GPS，通讯录，通话短信纪录，日历日程安排等隐私信息，还可以执行录音，截取手机屏幕等准时使命，具有远程翻开手机摄像头，开启话筒等功效。
core-winmobile:针对已经由时的 Windows Mobile 移动平台的远程控制木马客户端。也是用于网络目的隐私信息，且具有远程控制网络录音，截屏等功效。
core-symbian:针对 Symbian 移动平台的远控木马署理，用于网络GPS位置，通讯纪录，短新闻等敏感纪录，并可远程实时监听话筒等功效。
core-android-audiocapture:安卓平台下的语音监听工具，通过注入AudioFlinger相关历程抵达纪录麦克和听筒音频的功效。整个工具包括注入工具hijack、被注入的库libt.so，注入后会纪录音频信息到dump文件，黑客通过decoder.py剧本可以将dump文件还原成wav文件�？梢栽诎沧�3.x到4.x下运行。
core-android:一个安卓下的RCS应用，应该是功效较量完善的工具，可以网络社交软件的信息，应用中还打包了许多使用工具
core-blackberry:是黑莓下的RCS软件。

桌面系统监控

core-macos:其中包括一个用于Max OS X 平台可执行文件 macho 文件的加壳加密混淆程序。同时还包括针对 Mac OS X 平台的远程控制木马客户端程序，用于网络目的系统网络毗连，文件系统等信息，还可以窃取iMessageSkype剪贴板等应用的敏感信息，同时还可以键盘纪录，截屏，翻开摄像头等。
core-win32:windows平台木马，主要功效包括：1.窃取主流浏览器如Chrome、FireFox和IE 的Cookies等信息2.对用户GMail、Outlook、Facebook、Twitter、MSN、Skype、ICQ、Yahoo、Google Talk、Mozilla Thunderbird等使用举行监控，网络相关信息网络如：帐号信息、相关联系人信息等。监控的MSN版本从6.0到2011，Yahoo Messager版本从7.x到10.x，ICQ Messenger v7.x 3.对麦克风和摄像头举行监控
core-win64:和core-win32对应，同样是windows平台木马，但项目只是包括了64位系统特有的api hook框架.
soldier-win:windows平台木马，功效包括：获取目的盘算机基本信息窃取浏览器chrome、firefox、IE密码和cookies窃取facebook、gmail、twitter、Yahoo相关信息屏幕监控、摄像头监控等
scout-win:windows平台木马，功效相对简朴：screenshot、获取目的盘算机的基本信息如：CPU，内存，用户名等信息。具有少量简朴的反检测机制，如AntiVM、动态获取API地点、黑名单等。子项目VMProtectDumper是针对某一版本VMProtect的脱壳机

辅助入侵功效

为了在target上装置受控端软件并获取主机控制权，尚有提供了一些须要的功效

driver-macos:包括一个 Mac OS X 平台的内核级 Rootkit ，具有用户历程隐藏，文件系统隐藏等功效，还可以 hook 系统挪用， mach_trap_table ，并实时追踪用户空间后门的运行状态。
core-packer:用于Windows 平台 PE 可执行文件的加壳加密混淆程序。
core-android-market:应该是安卓下的类似推送新闻的应用，包括一个名为org.benews.BeNews的安卓端的apk应用和外地运行的server，通讯数据为bson名堂。apk应用具有自启动功效，会启动推送服务
core-android-native:卓相关使用工具的荟萃，包括了所有安卓4.1版本以前的使用工具，包括了put_user_exploit、towelroot中的使用工具、selinux的使用工具等
vector-ipa:ipa是 Injection Proxy Appliance 的缩写 Injection Proxy Appliance是RCS系统一部分。
- RCS Injection Proxy Appliance (RCS IPA)是用于攻击的清静装备，使用中心人攻击手艺和streamline injection机制，它可以在差别的网络情形下透明地举行操作，无论是在局域网照旧内部交流机上。
- IPA 可从监控的网络流量中检测HTTP毗连，举行中心人攻击，主要有三种攻击方法:注入EXE 注入html和替换攻击。当监控的HTTP毗连掷中预先设置的规则时，IPA 将执行注入攻击。IPA 可以设置需要注入的用户(如IP地点)，资源(如可执行文件)等规则。
driver-win32:core-win32对应的内核驱动�？�，提供功效诸如：权限提升、操作敏感注册表、恢复SSDT等。
driver-win64:相对32位版本的驱动，只是注释掉了许多功效代码。
vector-silent:木马辅助程序：Dropper和depacker
vector-applet:应该是用于挂马的Java applet。使用的有可能是未知误差，误差在twostage和weaponized文件夹下的readme中油形貌，”通过XMLDecoder获取一个Bridge实例的引用，从而导致一个类混淆”。
vector-edk:Intel UEFI（统一可扩展固件接口）BIOS后门植入工具
vector-offline2:离线装置RCS工具包，可在物理接触时植入RCS后门。可将离线装置工具刻录在CD-DVD/USB等可指导介质上，当可物剖析见到盘算机系统时，可使用该介质启动系统，将后门直接植入盘算机中的操作系统中。现在支持对Linux/OS X/Windows系统的离线装置。提供了友好的图形界面，可自动识别盘算机上保存的差别操作系统，并可识别每个操作系统上保存的用户，然后可针对差别用户划分植入差别类型的后门。
vector-offline:Windows版的离线装置工具源码。
vector-recover:一个Windows版的下载器。下载器自己会修改图标和版本信息，将自己伪装成东芝的蓝牙助手工具:btassist.exe。下载器自己会循环会见两个地点的牢靠URL:GET /gh/3735928545/deadbee2判断下载数据的前32字节是否是”3j9WmmDgBqyU270FTid3719g64bP4s52″，若是是的话会从第33字节最先生涯后续数据光暂时目录下的msupd64.exe文件中，然后执行该文件。
vector-rmi:一个发送WAP PUSH信息的下令行工具，可以将链接以短信形式发送到支持WAP PUSH功效的手机上�？勺越缢抵莳植问�。

Hacking Team RCS入侵手段

Hacking Team RCS软件入侵目的，主要通过如下三种方法：

熏染移动介质

与许多木马、病毒及流氓软件的撒播方法一样，该软件首先照旧接纳这种低本钱的方法举行，熏染一些能够接触目的的移动媒体，好比CD-ROM、USB等，即即是OS 或者BIOS设置了密码也一样可以熏染，从而获取一些情形数据，好比电脑是否可以上网等，为后续的行动提供参考依据。

署理攻击

接纳软件或硬件的系统，能够在网络会话历程中修改和注入数据，在某些情形下，可以注入到系统并难以被检测到。同时，也能够熏染Windows平台上的可执行文件，若是目的电脑从网站上下载并执行这些可执行文件时，Agent将在后台自动装置，用户不会知晓。

APT

如上两种方法都无法奏效的时间，就会接纳多种形式组合入侵，接纳相关的误差、入侵工具及更多使用手段，详细的剖析及防护计划，在后续的报告中泛起。

Hacking Team RCS信息上传

用于搜集客户端搜集信息的上传通道，是一个强加密和需要认证的通讯历程，同时整个上传通道的设计是基于重大网络情形的，思量到防火墙、带有域认证功效的署理等等，会通过模拟一个正常用户浏览web的历程来举行这一些操作。

信息搜集功效是通过Collection Node来完成的客户端上传信息的搜集，并且允许客户端从服务器上下载新的设置和插件，这个节点是通过提供ASP服务完成交互的。这个节点是整个控制系统唯一能从外部举行会见的节点，因此对它的�；ひ埠苁且�，好比使用防火墙等步伐举行一定的隔离，也需要使用到Anonymizer 链来对ASP真实的IP地点举行隐藏。

RSSM(Mobile Collection Node)作为Collection Node的一个增补，通过蓝牙等手段完成Collection Node的功效，并且该节点也会和Collection Node完成同步的历程。

威胁情报

从现在此次Hacking Team泄露事务情形来看，其造成的反应犹如斯洛登及维基解密事务的影响，要害在于尽可能快的相识到相关的情报，以便尽可能快的启动应急响应机制。威胁情报的获取及响应都体现了防御能力的建设水平，威胁情报服务系统至少包括了威胁监测及响应、数据剖析及整理、营业情报及交付、危害评估及咨询、清静托管及应用等各个方面，涉及研究、产品、服务、运营及营销的各个环节，九游老哥科技通过研究、云端、产品、服务等立体的应急响应系统，向企业和组织实时提供威胁情报，并一连对对匿名者攻击事务举行关注，包管客户营业的顺畅运行。

若是您对我们提供的内容有任何疑问，或者需要相识更多的信息，可以随时通过在微博、微信中搜索九游老哥科技联系九游老哥，接待您的垂询！

威胁情报下载

简要剖析:Hacking Team 远程控制系统

<<上一篇

深度剖析及防护：加密木马攻击，海莲花？

>>下一篇

防护计划：Hacking Team数据泄露事务

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

? 2026 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号