你是否百分之百确信自己的设备没有感染Hacking Team监视恶意软件,无论那意味着你可能是某国政府的目标,还是某个对Hacking Team的恶意软件重新做了手脚的网上卑鄙小人的受害者?当然了,Adobe和微软已发布了应急补丁,以对付披露的Hacking Team漏洞,但是你扫描计算机,确信它没有受到感染岂不是明智之举?现在你可以检查自己的计算机是否感染了Hacking Team的间谍软件,因为Rook Security公司已发布了一款免费的检测工具,这款名为“Milano”的工具旨在帮助个人和企业查明自己的机器是否受到了感染。
Rook Security一直在与美国联邦调查局(FBI)印第安纳波利斯网络特别小组合作,对付披露的Hacking Team文件中发现的“恶意的、可改造成武器”的漏洞。为了减小对关键基础设施造成的潜在影响,他们携手起来,识别出了可改造成武器的恶意文件。另外,他们的目的还在于“为受感染的厂商、客户、关键基础设施、FBI、美国特勤局、国土安全部(DHS)、互联网服务提供商(ISP)及其他机构组织制作攻陷指标(IOC)和简报”;检查有没有任何客户受到了影响;并且“开发一种能力,可用于查明它们是否受到了Hacking Team文件的感染。”
Rook Security的Tom Gorup近日宣布发布Milano v1.0.1时表示,Milano的这款最新版本得到了改进,从原先40个文件散列增加到了312个恶意或可改造成武器的文件散列。更新后的攻陷指标(IOC)与新的Milano版本捆绑在一起。“没必要同时下载Milano和IOC文件。我们提供了两者,让用户可以结合其工具库中的任何工具来充分利用这些信息。”
Gorup补充说:
到目前为止,我们将工作重心在放在一个Windows可执行文件和诸多DLL文件上。我们已完成了分析800多个Windows、Exe和DLL文件的工作,因而查出了总共312个被标为恶意文件或者能够被用来支持间谍软件的可执行文件。
此外,我们的分析工作在继续进行,致力于Linux和OSX特有的文件。眼下我们已识别了Linux特有的126个文件。我们完成分析这些文件的工作后,就会发布新的IOC文件,所以到时请关注我们的博客,了解更多信息。
Milano的功能特性在“不远的将来”会得到加强,包括“自动检测操作系统、自动更新ICO以及OpenIOC格式化文件作为输入源。一旦发布,这些功能特性将让Milano能够作为脚本来运行,能够识别哪个操作系统在运行,并寻找针对特定操作系统的IOC。自动更新功能会更新IOC,每当它运行,就会寻找IOC的版本。这可以确保每当执行Milano,IOC在将来就会自动更新。”
你可以使用Milano执行快速扫描或深度扫描,以查找Hacking Team关联文件。Hacking Team的统一可扩展固件接口(UEFI)BIOS rootkit特别令人担忧;它会偷偷地重新安装,将其远程控制系统(RCS)代理一直安装在目标的系统上。“即便用户格式化了硬盘,重装了操作系统,甚至购买了新硬盘,微软Windows安装并运行起来后,RCS代理还是会安装在上面。”也许Milano能发现这种情况,深度扫描似乎是最佳方法,尽管要花很长的时间来运行。
下载并解压缩Milano v1.01后,你会看到一个文档,附有Rook的Hacking Team数据分析图,还有一个名为“RookMilano”的文件夹。打开RookMilano文件夹,可以看到:
Rook Milano解压缩Rook Security
解压缩Milano文件内容后,点击milano.exe应该会运行该程序,除非你是在64位机器上。Rook Security告诉我,该程序面向32位系统,但是Windows 8.1. 64位用户可以运行该程序,只要使用命令提示符,将目录换成milano.exe所在的目录即可。
Rook Security的Milano工具Rook Security
Milano打开后,你会看到公司标识;按回车键。你看到责任声明的法律限制后,然后再按回车键。你看到软件服务原有声明的限制后,再按回车键。之后,你面临这个选项:选择“q”表示快速扫描,选择“d”表示深度扫描;选择一种扫描模式,然后按回车键。它会问你是否想使用Windows的默认路径;可以选择yes或no,但是如果你不知道该选哪个,那就试一下表示yes的“y”,按回车键。
它在扫描每个项目时,你希望看到“文件干净”。扫描完成后,需要分析的任何文件都会标以A(表示通过VirusTotal检测出来)、标以B(表示通过人工分析检测出来)、标以C(表示来自恶意项目)或者标以D(表示未确定)。结果保存成一个文本文件。如果你没有看到标以上述符号的任何文件,那么表明你的系统完全很干净。
Rook Security的Milano深度扫描结果
Rook的Hacking Team数据分析包括一张表,所附数据来自GitHub HackingTeam软件库;Rook将一些文件标以“W”,这意味着它可改造成武器。
Rook Security的Hacking Team数据表
之前,免费的监视恶意软件检测工具Detekt可以发现FinFisher和Hacking Team编写的远程控制系统工具包留下的痕迹。但是厂商们迟早会改动间谍软件,因而这个工具变得过时了。明智之举就是扫描并确信你的系统没有被感染,但是如果你需要试一下Milano的理由,不妨考虑国际特赦组织(Amnesty International)在Detekt发布后所说的一番话。“设想你绝不是唯一可能中招的。有人在背后窥视你,记录下你在计算机键盘上输入的每个字符,读取和侦听你的私密Skype会话;使用你手机的麦克风和摄像头来监控你和同事,而你完全蒙在鼓里。”
如果你认为这种事不太可能发生,那么不妨再好好想一想,因为研究人员Collin Mulliner发现,Hacking Team(转手卖给专制政府的卑鄙之徒)拿来他的开源漏洞工具后,并它们整合入到其安卓监视软件中,然后卖给全球各地大搞间谍活动的政府。Mulliner说:“看到自己的开源工具被Hacking Team用来制作窥视活动积极分子的产品,我很愤怒,也很难过。”Mulliner在一个例子中提到了他的安卓语音呼叫拦截工具,Hacking Team利用该工具来截获音频,比如被感染的安卓手机收听所及范围之内的会话。
防范面向安卓和iOS移动设备的Hacking Team恶意软件
如果这让你因此担心自己的手机可能感染上了Hacking Team的监视恶意软件,那么Lookout发出了一封电子邮件,声称“其客户(安卓平台和iOS平台上的客户)都受到了保护,远离所有最新形式的Hacking Team间谍软件产品。”
检测面向OS X的Hacking Team间谍软件
最后,Facebook发布了新的osquery查询包,以检测OS X上的Hacking Team的远程控制系统。“攻击者在继续设计和部署Mac OS X后门。我们已经在Flashback、IceFog、Careto、Adwind/Unrecom以及最近的HackingTeam上看到了这一幕。OS X攻击包拥有的查询可以识别恶意软件的已知变种,从高级持续性威胁(APT)到广告软件和间谍软件,不一而足。如果该查询包中的查询获得了结果,这意味着你的Mac机器中有一个主机感染了恶意软件。该数据包的准确度很高,误报有望接近零。”
