专栏首页FreeBuf伽利略远程监控系统完全安装指南

伽利略远程监控系统完全安装指南

7月初,外媒用臭名昭著形容意大利的网络军火商公司hacking team及其被黑事件,黑吃黑的黑客将该公司rcs系统的安装程序、源代码和邮件打包供所有人下载,更有人在github上用hackedteam打趣存储这些资料。

hacking team被黑事件发生时,国内的安全公司和安全研究人员都抢先分析了hacking team使用的0day漏洞和源代码,但很少有人提及整套rcs系统,rcs系统的全称是Galileo Remote Control System(伽利略远程控制系统),我这里简称为rcs。

rcs系统能够针对市面上Windows、OSX、Linux、Android、iOS、Blackberry、Windows Phone及Symbian等所有的终端,结合各种0day漏洞、rootkit技术和先进的渗透测试技术,进行远程攻击和持续性远程监控。

FreeBuf百科:伽利略

伽利略是历史上著名的意大利天文学家,以此命名也能看出这个公司的用心良苦,天文望眼镜级别的监控粒度。这个公司的商业化可以看一段视频感受下,这个视频是为rcs系统专门定制的广告片,帽兜男徐徐露出真面目,旁白介绍rcs系统的强大,酷炫屌炸天。

在大家都忙着分析hacking team边角料时,国外的安全公司hyperion bristol已经成功破解了rcs,还原了整套系统,我扒一些很关键的图和信息来分析下:

http://hyperionbristol.co.uk/galileo-rcs-installing-the-entire-espionage-platform/

这些选项就是泄露的源代码的各个功能组件、工具和exploit的生成界面,已经高度工程化了。

从源代码中可以分析出rcs的通信协议加密方式,每次随机生成16位密钥,与服务端协商以后的通信加密过程。

看一眼rcs的界面,最下面这一排实现的监控功能的图标,可以体现出rcs监控内容的强大。

看到这里,点到为止。rcs的安装需要安装key,可以从源代码中破解,但hyperion bristol公司等提供的rcs系统安装分析不是很完全,还有很多隐藏的坑。

一位匿名大牛给我的微信公众号提供了rcs系统安装的完整资料,安装过程极其复杂,我把资料分享给大家。看下面的资料前,先声明下这份资料涉及的数据和程序是已经完全公开的互联网数据,仅用于参考研究,请大家注意遵守国家的法律法规。

安装过程

1. 440g数据中rcs系统最新9.6版本的安装文件在

\Hacking Team\FAE DiskStation\2. DELIVERY\2.3. Software (releases)\RCS 9.6 (stable)\ 的目录下可以找到

2. 9.6 版本的rcs 更新了key的认证系统, github上的脚本https://github.com/hackedteam/rcs-db/blob/master/scripts/rcs-db-license-gen.rb 生成的key是没办法使用的。网上有生成9.6版本key的脚本,核心的验证代码变成了下面这样,9.6之后的licence 验证和软件的版本号相关联了。

3.首先安装rcs系统,需要 windows 2008 r2 两台和centos一台,2008最好是英文版本的,保持windows firewall 开启的状态。

4. 在其中一台server 2008 r2 服务器安装 Master Node,执行 rcs-setup-2015032101.exe

5. 选择Master Node

6. 输入cname,也就是我们服务器的ip地址

7. 选择我们的key文件rcs.lic

8. 创建rcs 系统的 admin 密码,要求至少10个字符,至少一个数字,一个大小字母,一个小写字母,而且不能包含'admin'字符串

9. 然后就是漫长的安装过程,毕竟安装包就1G大小,使用ssd硬盘的话速度会快很多.

10. 安装完毕,打开命令行执行以下命令查看log

11. 至此Master Node的安装完成,我们在另外一个windows server2008 r2 安装 Collector 。

12. 填写master 和本机器的ip地址:

13. 填写master node 安装时候设置的密码:

14. 一路下一步就安装完毕,执行 c:\rcs\collector\bin\rcs-collector-log.bat,检查安装日志

15. Collector node 安装成功!下一步安装 rcs Console

在任意机器上安装AdobeAIR ,也可使用 Hacking Team\FAE DiskStation\2. DELIVERY\2.4. Software (extras)\Adobe Air\AdobeAIRInstaller.exe,安装完更新到最新版本,然后双击Hacking Team\FAE DiskStation\2. DELIVERY\2.3. Software (releases)\RCS 9.6 (stable)\Product\Console\rcs-console-2015032101.air来安装rcs-console

安装之后打开桌面的快捷方式:

16. 因为没有配置证书,直接选是继续

17. 先来一窥 rcs 系统的全貌

18. 简单看看之后,我们来添加rcs的Anonymizer 节点,首先安装一台 centos 6的节点机器,记住ip地址

19. 点击system 面板,切到Frontend ,点击 忍者衣服加号的图标

20.点击选中添加的忍者衣服图标, download installer

21.桌面的这个目录里面会生成一份 anonymizer 的安装zip包.

22. 拷贝到centos的系统上安装

23. 然后在RCS 系统中把添加的Anonymizer 拖到Collector node上面,再点击

24. 最后一步在Master node 安装 Exploit 模块 rcs-exploits-2015032101.exe,至此RCS系统主模块就安装完毕了 ,剩下的就留给各位探索了。

* 作者:RAyH4c,来源:qz安全情报分析(独家授权)

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-09-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 臭名昭著的Fxmsp如何一步步成为“暗网隐形的神”

    探究Fxmsp如何从新手骇客成为讲俄语的地下组织的重量级人物,对于安全研究人员了解网络犯罪行业的发展、暗网的变化都有一定意义。

    FB客服
  • APT15组织研究白皮书

    Ke3chang组织也被称为APT15,该组织的攻击行为于2012年第一次被曝光,该组织当时利用远程后门攻击全世界的高价值目标。该组织活动最早可以追溯到2010...

    FB客服
  • 福特、大众畅销车曝安全漏洞,黑客可窃取隐私、操控车辆

    近日,一份来自英国消费者协会杂志《Which?》调查报告发现,福特和大众的两款畅销车存在严重安全漏洞,黑客可利用该漏洞发动攻击,窃取车主的个人隐私信息,甚至是操...

    FB客服
  • 圣杯布局与双飞翼布局

    上一篇文章介绍了三种方法实现CSS三栏布局,本文则在此基础上,进一步介绍常用的圣杯布局与双飞翼布局。

    前端林子
  • python3 学习笔记

    本人很少写 python 代码, 一般都是用 go 的, 去年时用 python 写过一些收集系统信息的工具, 当时是边看手册边写的. 如今又要用 python...

    py3study
  • 写给前端工程师的色彩常识:色彩三属性及其在CSS中的应用

    大家好,本篇文章,笔者将给大家聊聊关于设计方面的一些常识,你也许会很奇怪的问,前端工程师有必要了解设计相关的常识吗?那我的答案就是十分有必要。因为我们这个工作岗...

    前端达人
  • python基础之元祖、嵌套,for循环、 enumerate、range的试用案例

    爱学习的孙小白
  • 初识python脚本#学习猿地

    # 变量就是用一个英文字符串来记录或标记一些数据,并且这个被标记的数据是可以变化的

    学习猿地
  • 序列交换

    牛牛有一个长度为n的整数序列s,羊羊要在牛牛的序列中选择不同的两个位置,然后交换这两个位置上的元素。现在需要求出羊羊交换后可以得到的不同的序列个数。(注意被交换...

    AI那点小事
  • Android Studio 4.0 新功能中的Live Layout Inspector详解

    最近 Android Studio 4.0 稳定版本正式发布,其中一个重要升级就是新版的Layout Inspector

    砸漏

扫码关注云+社区

领取腾讯云代金券