Hacking TeamWord文档下载推荐.docx
《Hacking TeamWord文档下载推荐.docx》由会员分享,可在线阅读,更多相关《Hacking TeamWord文档下载推荐.docx(9页珍藏版)》请在冰豆网上搜索。
安卓平台下的语音监听工具,通过注入AudioFlinger相关进程达到记录麦克和听筒音频的功能。
整个工具包含注入工具hijack、被注入的库libt.so,注入后会记录音频信息到dump文件,黑客通过decoder.py脚本可以将dump文件还原成wav文件。
可以在安卓3.x到4.x下运行。
core-android:
一个安卓下的RCS应用,应该是功能比较完善的工具,可以收集社交软件的信息,应用中还打包了许多利用工具
core-blackberry:
是黑莓下的RCS软件。
PC监控
core-macos:
其中包含一个用于MaxOSX平台可执行文件macho文件的加壳加密混淆程序。
同时还包含针对MacOSX平台的远程控制木马客户端程序,用于收集目标系统网络连接,文件系统等信息,还可以窃取iMessage,Skype,剪贴板等应用的敏感信息,同时还可以键盘记录,截屏,打开摄像头等。
core-win32:
windows平台木马,主要功能包括:
1.窃取主流浏览器如Chrome、FireFox和IE的Cookies等信息2.对用户GMail、Outlook、Facebook、Twitter、MSN、Skype、ICQ、Yahoo、GoogleTalk、MozillaThunderbird等使用进行监控,收集相关信息收集如:
帐号信息、相关联系人信息等。
监控的MSN版本从6.0到2011,YahooMessager版本从7.x到10.x,ICQMessengerv7.x3.对麦克风和摄像头进行监控
core-win64:
和core-win32对应,同样是windows平台木马,但项目只是包含了64位系统特有的apihook框架.
soldier-win:
windows平台木马,功能包括:
获取目标计算机基本信息窃取浏览器chrome、firefox、IE密码和cookies窃取facebook、gmail、twitter、Yahoo相关信息屏幕监控、摄像头监控等
scout-win:
windows平台木马,功能相对简单:
screenshot、获取目标计算机的基本信息如:
CPU,内存,用户名等信息。
具有少量简单的反检测机制,如AntiVM、动态获取API地址、黑名单等。
子项目VMProtectDumper是针对某一版本VMProtect的脱壳机
辅助功能
driver-macos:
包含一个MacOSX平台的内核级Rootkit,具有用户进程隐藏,文件系统隐藏等功能,还可以hook系统调用,mach_trap_table,并实时追踪用户空间后门的运行状态。
core-packer:
用于Windows平台PE可执行文件的加壳,加密混淆程序。
core-android-market:
应该是安卓下的类似推送新闻的应用,包括一个名为org.benews.BeNews的安卓端的apk应用和本地运行的server,通讯数据为bson格式。
apk应用具有自启动功能,会启动推送服务
core-android-native:
安卓相关利用工具的集合,包含了所有安卓4.1版本以前的利用工具,包括了put_user_exploit、towelroot中的利用工具、selinux的利用工具等
vector-ipa:
ipa是InjectionProxyAppliance的缩写,InjectionProxyAppliance是RCS系统一部分。
(1)RCSInjectionProxyAppliance(RCSIPA)是用于攻击的安全设备,使用中间人攻击技术和streamlineinjection机制,它可以在不同的网络情况下透明地进行操作,无论是在局域网还是内部交换机上。
(2)IPA可从监控的网络流量中检测HTTP连接,进行中间人攻击,主要有三种攻击方式:
注入EXE,注入html和替换攻击。
当监控的HTTP连接命中预先设置的规则时,IPA将执行注入攻击。
IPA可以设置需要注入的用户(如IP地址),资源(如可执行文件)等规则。
driver-win32:
core-win32对应的内核驱动模块,提供功能诸如:
权限提升、操作敏感注册表、恢复SSDT等。
driver-win64:
相对32位版本的驱动,只是注释掉了很多功能代码。
vector-silent:
木马辅助程序:
Dropper和depacker
vector-applet:
应该是用于挂马的JavaApplet。
使用的有可能是未知漏洞,漏洞在twostage和weaponized文件夹下的readme中油描述,”通过XMLDecoder获取一个Bridge实例的引用,从而导致一个类混淆”。
vector-edk:
IntelUEFI(统一可扩展固件接口)BIOS后门植入工具
vector-offline2:
离线安装RCS工具包,可在物理接触时植入RCS后门。
可将离线安装工具刻录在CD-DVD/USB等可引导介质上,当可物理访问到计算机系统时,可利用该介质启动系统,将后门直接植入计算机中的操作系统中。
目前支持对Linux/OSX/Windows系统的离线安装。
提供了友好的图形界面,可自动识别计算机上存在的不同操作系统,并可识别每个操作系统上存在的用户,然后可针对不同用户分别植入不同类型的后门。
vector-offline:
Windows版的离线安装工具源码。
vector-recover:
一个Windows版的下载器。
下载器本身会修改图标和版本信息,将自己伪装成东芝的蓝牙助手工具:
btassist.exe。
下载器本身会循环访问两个地址的固定URL:
GET/gh/3735928545/deadbee2判断下载数据的前32字节是否是”3j9WmmDgBqyU270FTid3719g64bP4s52″,如果是的话会从第33字节开始保存后续数据到临时目录下的msupd64.exe文件中,然后执行该文件。
vector-rmi:
一个发送WAPPUSH信息的命令行工具,可以将链接以短信形式发送到支持WAPPUSH功能的手机上。
可自定义各种参数。
三、Win32木马分析
Def文件:
DLL入口点:
HM_sMain()
CONTACTAGENT:
outlook
CRYPT:
加密模块,包含aes,md5,sha
IMAGENT:
即时通信
JSON:
数据格式转换
MAILAGENT:
邮箱数据获取
MICAGENT:
麦克风数据
PWDAGENT:
主流浏览器和软件的用户名和密码获取并解密,包括Chrome,FireFox,gtalk,iexplorer,msn,opera,outlook,paltalk,thunderbird,trillian
SOCIAL:
主流浏览器和软件的Cookie获取
WEBCAMAAGENT:
摄像头获取
HM_sMain()函数分析:
1.IsBlackList()黑名单检测,主要检测主动防御软件(比特梵德,科摩多,卡巴斯基),相关函数位于av_detect.h,检测驱动文件,所有的驱动文件名经过加密;
同时检测是否64位系统。
BitDefender:
检测其驱动文件avc3.sys是否存在或运行
Comdo3:
检测其驱动文件inspect.sys,cmdhlp.sys是否存在或运行
Kaspersky:
检测其驱动文件klif.sys,kl1.sys是否存在或运行
其所有的字符串都经过混淆处理。
2.HM_GuessNames()文件名称初始化
3.AM_Startup()监视事件的初始化
4.HM_HookActiveProcesses()hookAPI注入远程DLL
5.HM_InsertRegistryKey(H4DLLNAME,FALSE);
插入注册表项
6.SetDesktopBackground(),修改桌面背景
7.SM_StartMonitorEvents();
开始监视
HMMAKE_HOOK:
hook系统API,其位于导出函数HM_sInBundleHook(PPPFTBBP03),hook了大部分关键函数。
文件:
按键记录:
快照:
CrisisAgent:
检测抓包进程,如wireshark.exe,ethereal.exe,tcpdump.exe,fsbl.exe,pavark.exe(反rootkit)HM_CrisisAgent.h
Url:
firefox,iexplore,chromeHM_UrlLog.h
WebCam:
DirectShowwcam_grab.cpp
MailCap:
mapi32.dll(MAPIInitialize等)获取OUTLOOK;
通过注册表获取WindowsMail邮件信息
PStoreAgent:
存储的密码信息(Firefox,IExplorer,Opera,Chrome,ThunderBird,Paltalk,Gtalk,Trillian)
IMRegister:
Skype,Yahoo,GTalk,Msn
DeviceInfo:
设备信息、应用列表和驱动列表
Money:
Bitcoin,Litecoin,Namecoin,Feathercoin(%appdata%\\Bitcoin\\wallet.dat)
MouseLog:
鼠标
Application:
正在运行的应用程序相关信息
Contact:
OutLook的通讯录信息,Skype通信信息
AmbMic:
获取麦克风数据
四、Win32驱动分析
do_ioctl_unhookSSDThook
do_ioctl_addpid添加PID
do_ioctl_admin提权
do_ioctl_reg注册表
五、Soldier监控分析
HackingTeam这次泄露的信息包括很多监视代码。
如Windows平台上的间谍软件工程Soldier(战士),用于非法监听用户的上网信息和本地信息。
包含Updater(升级)和Soldier两部分,重点分析一下Soldier。
FakeConditionalVersion:
首先检测系统版本,否则打开skype主页;
InitScout:
AntiVM:
反沙箱反虚拟机,其中反沙箱是通过填充fs:
[0x44],破坏栈地址,绕过Cuckoo;
反vBox是先创建COM对象,连接root\cimv2,然后通过select*fromWin32_PnPEntity查询DeviceID,然后通过HASH编码等方式,然后校验是否有PCI\\VEN_80EE&
DEV_CAFÉ
,如果存在,则说明在VBOX虚拟机中,bVBoxFound返回TRUE,并且如果ploc->
ConnectServer()函数调用失败,则也假定运行在虚拟机中,bVBoxFound返回TRUE;
反VMware是同AntiVBox类似,先创建COM对象,连接root\cimv2,然后通过select*fromWin32_Bios查询SerialNumber(BIOS序列号),经过hash加密后校验是否为VMWare,并检查是否是VMWARE_WHITELISTED,如果不是VMWARE_WHITELISTED,则说明是在虚拟机中,bVMWareFound返回TRUE,并且如果pLoc->
ConnectServer()函数调用失败,则也假定运行在虚拟机中,bVMWareFound返回TRUE。
http:
//www.youxia.org/hacking-team-sandbox.html
LoadConf:
加载配置文件,注册表处理和加密
创建两个线程SyncThreadFunction和MemoryWatchDog.
SyncThreadFunction:
GetDeviceInfo:
获取设备信息(应用列表,处理器数目,物理内存信息,操作系统,用户,硬盘,时间)
Synch:
云端数据交互,核心函数位于proto.cpp
MemoryWatchDog:
内存占用检测,大于1000000且正在监听,则停止监听;
小于5000000且未在监听则开始监听。
StartModules:
开启检测线程
SocialMain:
通过回调函数收集facebook,gmail,twitter,yahoo的通信录信息,通过本地cookie获取用户名和密码,在收集网上信息
Facebook:
Message,addressbook,
PositionMain:
获取WiFi信息(wlanapi.dll:
WlanOpenHandle,WlanEnumInterfaces,WlanGetNetworkBssList)
ClipBoardMain:
获取剪贴板信息
PasswordMain:
获取浏览器密码(ie,ffox,chrome),ie的密码获取稍复杂,ffox和chrome的获取是通过注册表
ScreenshotMain:
获取截屏信息
CameraMain:
使用摄像头获取视频信息
URL_Main:
获取浏览器中用户的浏览信息(洋葱浏览器,火狐浏览器)
六、Core-scout-win32
API_LoadWinsock:
获取Winsock相关的API地址(WS2_32.dllWSAStartup,WSACleanup,inet_addr,gethostbyname,inet_ntoa,ntohl)
API_LoadShell32:
获取Shell32.dll相关的API地址(SHCreateShellItem,SHParseDisplayName,SHGetSpecialFolderPathW)
AntiVM:
反沙箱和虚拟机
BL_CheckList:
黑名单检测(卡巴斯基),通过注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall中的Displayname获得安装程序名称,其中黑名单为:
卡巴斯基+XP
Drop:
创建目标文件pippopippo.exe
AvgInvisibility:
通过获取应用程序列表,查询应用程序中是否有“AVG”的程序(捷克的杀毒程序)
创建线程SyncThreadFunction:
获取设备信息(应用列表,处理器信息,物理内存信息,操作系统,用户,硬盘,时区),使用系统API函数,GetSystemInfo,GlobalMemoryStatusEx,GlobalMemoryStatusEx等。
SyncWithServer:
与服务器同步数据,第一次数据经过sha1和base64加密,解密服务器返回的数据(AES+CBC),决定相关操作,可以关闭或卸载或升级。
SendEvidences:
发送收集的信息,通过AES和CBC加密;
TakeScreenshot:
获取截屏,stretchBlt,BmpToJpgLog
Win_http.cpp:
通过Http同步数据
WinHTTPSetup:
初始化HTTP设置,其中API_LoadWinHttp加载WinHttp.dll中的函数rWinHttpSendRequest,Winhttpgetieproxyconfigforcurrentuser,Winhttpsetoption,Winhttpsettimeouts,Winhttpreceiveresponse,Winhttpconnect……
七、Vector-default
其实现的功能是dump文件夹AppData\Local\Microsoft\某些文件的数据,并加密。
升级会员 