Hacking Team 病毒测试环境分析

0x00 前言

安恒研究团队在Hacking Team泄露的文件中除了发现大量的后门、木马等攻击的源码,还发现了两个用于病毒安全性测试的源代码,分别是test-av-master和test-av2-master。从名字的命名来看,test-av2-master应该是第二个版本。

0x01分析test-av-master

通过分析,我们发现第一版来至开源沙盒“cuckoo”的早期版本

其使用的版本是 0.4.1:

观察其配置文件发现,他们使用都是vmware虚拟机,并且沙盒的主控端是运行在window系统上。

从配置来看,它配置了很多虚拟机,每个不同虚拟机内部包含不同的杀毒软件,具体的杀毒引擎有:adaware、avg、avg_free、avira、avira_free、avast、bitdefender、drweb、emsisoft、kav、panda、norman、norton、trendmicro、zonealarm

其工作原理:

  • 提交一个恶意文件到cuckoo主控端(创建一个任务id)
  • cuckoo系统分发提交的文件到各个虚拟机(不同的虚拟机包含有不同的杀毒软件)去执行。
  • 存储结果

检查思路是通过多杀毒引擎的检测来达到降低查杀率。

0x02 分析test-av2-master

从整体代码来看,这是hacking term 自己开发的一个新的恶意文件扫描环境,新版从代码的修改时间来看,他们可能是2013年9月开发至2014年8月完成(这里的“完成”是指一个稳定的版本)。HT给他们起名叫RCSAVTest,从名字来看他们是用它进行RCS的查杀测试。整个工程也是使用python编写,它有两个比较重要的模块,分别是AVMaster和AVAgent。

AVMaster作为主控端,它主要都任务是:

  • Redis的管理
  • 控制虚拟机

启动,停止

推送文件

启动avagent

收集avagent结果(交互)

超时管理

  • 使用电子邮件发送结果报告

AVAgent作为代理,它主要都任务是:

  • 打开Redis的通道
  • 解压缩文件附件
  • 接收命令
  • 执行命令 更新OS和杀毒软件 扫描文件 自定义参数等

保存文件

  • 反馈结果

从架构来看,它和cuckoo的工作原理类似,也是使用了包含很多杀毒软件的虚拟机举行病毒扫描

而在源代码的doc目录的AVTEST Box.xls记录文档里面也能看见虚拟机的配置文件。

而且包含更多的杀毒软件,比如多了360安全卫士。

两个版本相比较,改进的地方有:

  • 为了速度使用Redis数据库,放弃使用mysql
  • 增加了邮件通知
  • 增加了linux、ios、osx、blackberry、android文件扫描(静态)
  • 增加了系统和杀毒软件的日常更新功能

0x03 总结

经过安恒研究团队分析早期版本(cuckoo版本)不能解决Hacking Team的自定义需求,所以他们在使用了一段时间以后放弃转而开发新版本,新版本在架构上进行借鉴并增加了一些自定义需求。研究团队本以为它会包含特征码免杀,实际上看来只是分布式病毒查杀检查而已,原理和virustotal差不多!

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2015-07-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏域名资讯

域名被墙了的解决办法有哪些?

  如果域名ping的通却打不开网站(排除服务器宕机),用代理可以打开一般说明域名被封了。假如域名下的网站非法信息多,敏感,又不整改,会直接被GFW墙掉,结果就...

3.5K50
来自专栏BeJavaGod

什么是分布式系统中的幂等性

最近很多人都在谈论幂等性,好吧,这回我也来聊聊这个话题,光看着俩字,一开始的确有点一头雾水,语文不好嘛,词太专业嘛,对吧 现如今我们的系统大多拆分为分布式SOA...

37630
来自专栏行者悟空

一次nginx引起的线上502故障

今天突然接到某PM的求救,说微信支付到应用的请求一直返回502,于是初步了解完情况后,就进入了问题排查阶段。

1.4K20
来自专栏数据库

数据库安全如何保障?这五点是关键!

数据泄漏的成本是昂贵的,这之中包含着业务的中断、客户信任的丧失、损失的法律成本、监管罚款和勒索软件攻击。 数据泄漏或导致巨大的影响。最好的防御是好的进攻,所以让...

230100
来自专栏伪君子的梦呓

如何备份一些容易看不到的文章

377100
来自专栏黑白安全

反射的跨站点脚本(XSS)攻击

跨站点脚本攻击(XSS)是一种Web应用程序漏洞,允许攻击者将代码(通常为HTML或JavaScript)注入到外部网站的内容中。当受害者查看网站上的受感染页面...

12320
来自专栏zhangdd.com

ntp服务器查看状态命令ntpstat及ntpq -p 说明及差别详解

NTP服务器【Network Time Protocol(NTP)】是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)...

31220
来自专栏coding

RabbitMQ实战1.消息代理01.消息代理02.安装RabbitMQ03.生产者-消费者模式04.队列操作

肯定不是,这种直接与生产者交易的成本太大了!大到不可承受。因此有了中间商的存在。中间商将生产者与消费者的所有环节都透明化,使最终的交易流程极其简单。

8710
来自专栏逢魔安全实验室

渗透基础-SSH后门分析总结

? ? 对于UNIX系统来说,ssh服务端作为最广泛应用的远程管理服务并且有一定对外开放的必然性,必然引起黑客关注,所以ssh类的后门也是uni...

76040
来自专栏FreeBuf

论如何反击用AWVS的黑客

前言 我的博客经常被师傅们用各种扫描器扫,每天都想尽办法来钓我鱼。虽然这是一种示好方式,但是久了,老是不给回礼就显得不礼貌了。所以我就稍微改造了一下博客。 这篇...

33690

扫码关注云+社区

领取腾讯云代金券