Hacking Team 病毒测试环境分析

安恒研究团队在Hacking Team泄露的文件中除了发现大量的后门、木马等攻击的源码，还发现了两个用于病毒安全性测试的源代码，分别是test-av-master和test-av2-master。从名字的命名来看，test-av2-master应该是第二个版本。

0x01分析test-av-master

通过分析，我们发现第一版来至开源沙盒“cuckoo”的早期版本

其使用的版本是 0.4.1：

观察其配置文件发现，他们使用都是vmware虚拟机，并且沙盒的主控端是运行在window系统上。

从配置来看，它配置了很多虚拟机，每个不同虚拟机内部包含不同的杀毒软件，具体的杀毒引擎有：adaware、avg、avg_free、avira、avira_free、avast、bitdefender、drweb、emsisoft、kav、panda、norman、norton、trendmicro、zonealarm

其工作原理：

• 提交一个恶意文件到cuckoo主控端（创建一个任务id）
• cuckoo系统分发提交的文件到各个虚拟机（不同的虚拟机包含有不同的杀毒软件）去执行。
• 存储结果

检查思路是通过多杀毒引擎的检测来达到降低查杀率。

0x02 分析test-av2-master

从整体代码来看，这是hacking term 自己开发的一个新的恶意文件扫描环境，新版从代码的修改时间来看，他们可能是2013年9月开发至2014年8月完成（这里的“完成”是指一个稳定的版本）。HT给他们起名叫RCSAVTest，从名字来看他们是用它进行RCS的查杀测试。整个工程也是使用python编写，它有两个比较重要的模块，分别是AVMaster和AVAgent。

AVMaster作为主控端，它主要都任务是：

• Redis的管理
• 控制虚拟机

启动，停止

推送文件

启动avagent

收集avagent结果（交互）

超时管理

• 使用电子邮件发送结果报告

AVAgent作为代理，它主要都任务是：

• 打开Redis的通道
• 解压缩文件附件
• 接收命令
• 执行命令 更新OS和杀毒软件 扫描文件 自定义参数等

保存文件

• 反馈结果

从架构来看，它和cuckoo的工作原理类似，也是使用了包含很多杀毒软件的虚拟机举行病毒扫描

而在源代码的doc目录的AVTEST Box.xls记录文档里面也能看见虚拟机的配置文件。

而且包含更多的杀毒软件，比如多了360安全卫士。

两个版本相比较，改进的地方有：

• 为了速度使用Redis数据库，放弃使用mysql
• 增加了邮件通知
• 增加了linux、ios、osx、blackberry、android文件扫描（静态）
• 增加了系统和杀毒软件的日常更新功能

0x03 总结

经过安恒研究团队分析早期版本（cuckoo版本）不能解决Hacking Team的自定义需求，所以他们在使用了一段时间以后放弃转而开发新版本，新版本在架构上进行借鉴并增加了一些自定义需求。研究团队本以为它会包含特征码免杀，实际上看来只是分布式病毒查杀检查而已，原理和virustotal差不多！