Hacking Team间谍软件Soldier工程分析

Hacking Team这次泄露的信息包括很多监视代码。如Windows平台上的间谍软件工程Soldier(战士)，用于非法监听用户的上网信息和本地信息。今天我们来分析一下这个工程。

工程介绍

工程结构如下：

包含Updater（升级）和Soldier两部分，重点看一下Soldier。

目录如下：

Main.cpp

程序入口，会检测是否运行在虚拟机环境里，检查杀软，然后进行初始化。启动后台线程进行网络操作以及各种监控逻辑。

Proto.cpp

监控数据上报管理，提供监控数据加密、上报单条、上报全部数据等接口。

接收执行云控指令，如：配置文件更新；本地目录信息收集等。

Conf.cpp

加载配置文件；根据配置文件决定启用哪些功能模块。

Mods

Mods下的子目录对应各个监控模块，实现具体的监控逻辑。由配置文件控制启动哪些监视模块。

social、cloud、photo

根据设置，窃取facebook、gmail、twitter、Yahoo等社交网站的用户信息，包括消息、联系人、facebook相册、googledoc等。

窃取流程为：读取浏览器本地cookies，根据网站域名查找到对应的cookies信息，使用这些cookies信息向网站请求用户信息。

position

获取WIFI网络信息。

clipbord

获取当前窗口的剪贴板信息，同时上报当前窗口的标题和进程名称。

password

尝试获取IE、Chrome、Firefox保存的密码并解密。

screenshot

尝试截取当前窗口的内容。

camera

尝试使用摄像头捕获视频信息。

url

尝试获取TorBrowser和Firefox的浏览历史。

整体框架

整个监控工具的逻辑框架如下图所示，各个线程之间用虚线隔开：

这是一个功能完善的监视工具，可以监视用户的网上浏览信息和本地操作信息，造成用户隐私和重要数据的泄露；灵活的云控机制和自升级带来了更大的潜在威胁。

腾讯电脑管家安全专家发现，泄露的内容里包含着多个漏洞利用程序，包括不少高风险的0day漏洞。黑客可肆意利用这些漏洞远程执行任意代码，用户只要访问黑客指定网站即可中毒，危险性极高。腾讯电脑管家已于第一时间拦截，保障安全。

目前针对Flash 0day漏洞，Adobe公司已出补丁。专家提醒：大家赶紧使用电脑管家进行修复，同时注意不要轻易点击可疑链接、运行可疑程序，及时开启电脑管家进行防护。

*作者：腾讯安全管家（企业帐号），转载须注明来自FreeBuf黑客与极客（FreeBuf.COM）