Hacking Team间谍软件Soldier工程分析

Hacking Team这次泄露的信息包括很多监视代码。如Windows平台上的间谍软件工程Soldier(战士),用于非法监听用户的上网信息和本地信息。今天我们来分析一下这个工程。

工程介绍

工程结构如下:

包含Updater(升级)和Soldier两部分,重点看一下Soldier。

目录如下:

Main.cpp

程序入口,会检测是否运行在虚拟机环境里,检查杀软,然后进行初始化。启动后台线程进行网络操作以及各种监控逻辑。

Proto.cpp

监控数据上报管理,提供监控数据加密、上报单条、上报全部数据等接口。

接收执行云控指令,如:配置文件更新;本地目录信息收集等。

Conf.cpp

加载配置文件;根据配置文件决定启用哪些功能模块。

Mods

Mods下的子目录对应各个监控模块,实现具体的监控逻辑。由配置文件控制启动哪些监视模块。

social、cloud、photo

根据设置,窃取facebook、gmail、twitter、Yahoo等社交网站的用户信息,包括消息、联系人、facebook相册、googledoc等。

窃取流程为:读取浏览器本地cookies,根据网站域名查找到对应的cookies信息,使用这些cookies信息向网站请求用户信息。

position

获取WIFI网络信息。

clipbord

获取当前窗口的剪贴板信息,同时上报当前窗口的标题和进程名称。

password

尝试获取IE、Chrome、Firefox保存的密码并解密。

screenshot

尝试截取当前窗口的内容。

camera

尝试使用摄像头捕获视频信息。

url

尝试获取TorBrowser和Firefox的浏览历史。

整体框架

整个监控工具的逻辑框架如下图所示,各个线程之间用虚线隔开:

这是一个功能完善的监视工具,可以监视用户的网上浏览信息和本地操作信息,造成用户隐私和重要数据的泄露;灵活的云控机制和自升级带来了更大的潜在威胁。

腾讯电脑管家安全专家发现,泄露的内容里包含着多个漏洞利用程序,包括不少高风险的0day漏洞。黑客可肆意利用这些漏洞远程执行任意代码,用户只要访问黑客指定网站即可中毒,危险性极高。腾讯电脑管家已于第一时间拦截,保障安全。

目前针对Flash 0day漏洞,Adobe公司已出补丁。专家提醒:大家赶紧使用电脑管家进行修复,同时注意不要轻易点击可疑链接、运行可疑程序,及时开启电脑管家进行防护。

*作者:腾讯安全管家(企业帐号),转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-07-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏ChaMd5安全团队

一次XSS突破的探险

现在一些网站表面上很多地方都没有漏洞,包括xss也过滤的很干净,那我们还能突破重围,挖掘到漏洞吗? 我们经常遇到这种信息保存的地方,它经常进行xss的过滤,是不...

3937
来自专栏无题

在高并发的核心技术中如何实现幂等性

* 实际系统中有很多操作,是不管做多少次,都应该产生一样的效果或返回一样的结果。 例如: 前端重复提交选中的数据,应该后台只产生对应这个数据的一个反应结果。 ...

77211
来自专栏java学习

微信自动回复机器人

微信自动回复如图: ? 注意事项: 一、必须安装微信2.4.5.73版本(WeChatSetup2.4.5.73.exe),才能使用机器人 二、若被360误杀,...

9875
来自专栏黑白安全

小心!黑客可利用Windows远程协助漏洞窃取你的敏感文件

一个基本的网络安全建议和常识就是你不要与不信任的人分享你的计算机远程访问权限。但是,不仅限于此,攻击者的套路往往是很深的,如果你认为我们只要不与不信任的人分享计...

1333
来自专栏无题

分布式系统幂等性解决方案

用通俗的话讲,幂等就是一个操作,不论执行多少次,产生的效果和返回的结果都是一样的。 需要确保幂等性的场景: 前端重复提交选中的数据,应该后台只产生对应这个数据...

8045
来自专栏Java学习网

常用开发工具Eclipse的实现机制和原理是什么?

我们学习和开发过程中用到Java的地方,就有Eclipse的影子,Eclipse平台是目前流行的Java开发工具之一,很重要的一个原因是它开源免费;有人会说我用...

3535
来自专栏莫韵的专栏

在腾讯云上使用自建DNS

在腾讯云上使用自建DNS , 这是一个非常非常非常硬的需求。非常多的程序模块要求,通过DNS解析去访问调用,但是,当你把dns改为自己的,接着腾讯云提供的套件服...

3.5K21
来自专栏FreeBuf

黑帽SEO剖析之隐身篇

此系统文章总共分为四篇,分别是手法篇、工具篇、隐藏篇、总结篇;本篇为隐身篇,主要介绍黑帽seo中一些隐身的手段。 黑帽seo与其他黑产行为不同的是,它需要时间去...

2738
来自专栏FreeBuf

深入解析Cookie技术

0×00 引言 在Web技术的发展史上,Cookie技术的出现是一次重大的 变革。但是, Cookie技术又是一项非常有争议的技术,从它诞生之日起就成了广大网络...

21910
来自专栏用户2442861的专栏

工作中提升效率的工具

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/haluoluo211/article/d...

1873

扫码关注云+社区

领取腾讯云代金券