Hacking Team远程 控制系统简要分析.PDF

前沿技术 Hacking Team远程 控制系统简要分析 威胁响应中心陈颐欢市场部王洋 7 月5 日晚，一家意大利远程控制软件厂商Hacking Team 的内部数据被泄露出来， 其影响力不亚于斯洛登事件及维基解密事件。本文简要分析其中的核心内容——Hacking Team RCS （远程控制系统）。 一、泄露：Hacking Team 家软件公司，主要向各国政府及法律机构 完整的体系架构。这个架构中有不同的功能 7 月5 日晚，一家意大利软件厂商【1】 销售入侵及监视功能的软件。其远程控制系 模块，彼此之间相互配合，完成入侵、安装、 被攻击，其掌握的400GB 漏洞（包括 统可以监测互联网用户的通讯、解密用户的 信息搜集、监控、集中管理等功能。 0day）数据泄露出来，由此可能引发的动荡， 加密文件及电子邮件，记录Skype 及其他 •收集信息 引起了业界一片哗然。数据包中主要包含几 VoIP 通信，也可以远程激活用户的麦克风 该软件在后台收集并上传目标用户的信 个大的部分： 及摄像头。其总部在意大利，雇员40 多人， 息，包括各类数据、图片、影音等。 •远程控制软件源码，也是其核心，暂 并在安纳波利斯和新加坡拥有分支机构，其 •入侵工具 且称之为Hacking Team RCS 产品在几十个国家使用【2】。 配合该软件有各种漏洞、利用手段及自 •反查杀分析工具及相关讨论文档 二、分析：远程控制系统 动化工具，以便在目标上强制安装Agent 。 •0Day 漏洞及相关入侵工具 大家知道IT 运维管理中常常用到远程 •适应能力强 •入侵项目相关信息，包括账户密码、 控制软件，比如Dameware，但Hacking 桌面OS 从Windows 到MacOs X ，手 数据及音像资料 Team RCS 相比市面上常见的远程控制软件 机OS 基本覆盖了市场上流行的系统。 •办公文档、邮件及图片 而言，主要区别如下： •反追踪 •其他 •系统化管理 该软件本地及传播过程数据均加密，让 Hacking Team 在意大利米兰注册了一 该软件从入侵到目标信息收集分析，有 追踪者难以找到攻击者。 57 前沿技术 •反卸载反查杀 从管理控制台传来的请求。所有的RCS 数据都存储在一个标准的 该软件Agent 不提供卸载方式，并采用各种手段躲避杀毒软件。 关系型数据库，因此该服务还提供额外的功能，比如根据客户的要 2.1 Hacking Team RCS 系统架构 求实现自动备份和定制数据挖掘。系统要求是Windows 2003 or RCS (Remote Control System) 系统是一套非常完善的远程控 2008。 制系统套件，支持多种平台。 •Management console RCS 的控制台是用于访问和控制所有的远程控制系统（RCS） 功能的应用程序。Operators 可以授予系统不同等级的访问权 限：Admin 可以创建用户和组，授予权限，管理调查，审核系统； Technician