7月初,外媒用臭名昭著形容意大利的网络军火商公司hacking team及其被黑事件,黑吃黑的黑客将该公司rcs系统的安装程序、源代码和邮件打包供所有人下载,更有人在github上用hackedteam打趣存储这些资料。
hacking team被黑事件发生时,国内的安全公司和安全研究人员都抢先分析了hacking team使用的0day漏洞和源代码,但很少有人提及整套rcs系统,rcs系统的全称是Galileo Remote Control System(伽利略远程控制系统),我这里简称为rcs。
rcs系统能够针对市面上Windows、OSX、Linux、Android、iOS、Blackberry、Windows Phone及Symbian等所有的终端,结合各种0day漏洞、rootkit技术和先进的渗透测试技术,进行远程攻击和持续性远程监控。
FreeBuf百科:伽利略
伽利略是历史上著名的意大利天文学家,以此命名也能看出这个公司的用心良苦,天文望眼镜级别的监控粒度。这个公司的商业化可以看一段视频感受下,这个视频是为rcs系统专门定制的广告片,帽兜男徐徐露出真面目,旁白介绍rcs系统的强大,酷炫屌炸天。
在大家都忙着分析hacking team边角料时,国外的安全公司hyperion bristol已经成功破解了rcs,还原了整套系统,我扒一些很关键的图和信息来分析下:
http://hyperionbristol.co.uk/galileo-rcs-installing-the-entire-espionage-platform/
这些选项就是泄露的源代码的各个功能组件、工具和exploit的生成界面,已经高度工程化了。
从源代码中可以分析出rcs的通信协议加密方式,每次随机生成16位密钥,与服务端协商以后的通信加密过程。
看一眼rcs的界面,最下面这一排实现的监控功能的图标,可以体现出rcs监控内容的强大。
看到这里,点到为止。rcs的安装需要安装key,可以从源代码中破解,但hyperion bristol公司等提供的rcs系统安装分析不是很完全,还有很多隐藏的坑。
一位匿名大牛给我的微信公众号提供了rcs系统安装的完整资料,安装过程极其复杂,我把资料分享给大家。看下面的资料前,先声明下这份资料涉及的数据和程序是已经完全公开的互联网数据,仅用于参考研究,请大家注意遵守国家的法律法规。
安装过程
1. 440g数据中rcs系统最新9.6版本的安装文件在
\Hacking Team\FAE DiskStation\2. DELIVERY\2.3. Software (releases)\RCS 9.6 (stable)\ 的目录下可以找到
2. 9.6 版本的rcs 更新了key的认证系统, github上的脚本https://github.com/hackedteam/rcs-db/blob/master/scripts/rcs-db-license-gen.rb 生成的key是没办法使用的。网上有生成9.6版本key的脚本,核心的验证代码变成了下面这样,9.6之后的licence 验证和软件的版本号相关联了。
3.首先安装rcs系统,需要 windows 2008 r2 两台和centos一台,2008最好是英文版本的,保持windows firewall 开启的状态。
4. 在其中一台server 2008 r2 服务器安装 Master Node,执行 rcs-setup-2015032101.exe
5. 选择Master Node
6. 输入cname,也就是我们服务器的ip地址
7. 选择我们的key文件rcs.lic
8. 创建rcs 系统的 admin 密码,要求至少10个字符,至少一个数字,一个大小字母,一个小写字母,而且不能包含'admin'字符串
9. 然后就是漫长的安装过程,毕竟安装包就1G大小,使用ssd硬盘的话速度会快很多.
10. 安装完毕,打开命令行执行以下命令查看log
11. 至此Master Node的安装完成,我们在另外一个windows server2008 r2 安装 Collector 。
12. 填写master 和本机器的ip地址:
13. 填写master node 安装时候设置的密码:
14. 一路下一步就安装完毕,执行 c:\rcs\collector\bin\rcs-collector-log.bat,检查安装日志
15. Collector node 安装成功!下一步安装 rcs Console
在任意机器上安装AdobeAIR ,也可使用 Hacking Team\FAE DiskStation\2. DELIVERY\2.4. Software (extras)\Adobe Air\AdobeAIRInstaller.exe,安装完更新到最新版本,然后双击Hacking Team\FAE DiskStation\2. DELIVERY\2.3. Software (releases)\RCS 9.6 (stable)\Product\Console\rcs-console-2015032101.air来安装rcs-console
安装之后打开桌面的快捷方式:
16. 因为没有配置证书,直接选是继续
17. 先来一窥 rcs 系统的全貌
18. 简单看看之后,我们来添加rcs的Anonymizer 节点,首先安装一台 centos 6的节点机器,记住ip地址
19. 点击system 面板,切到Frontend ,点击 忍者衣服加号的图标
20.点击选中添加的忍者衣服图标, download installer
21.桌面的这个目录里面会生成一份 anonymizer 的安装zip包.
22. 拷贝到centos的系统上安装
23. 然后在RCS 系统中把添加的Anonymizer 拖到Collector node上面,再点击
24. 最后一步在Master node 安装 Exploit 模块 rcs-exploits-2015032101.exe,至此RCS系统主模块就安装完毕了 ,剩下的就留给各位探索了。
* 作者:RAyH4c,来源:qz安全情报分析(独家授权)