转载

楚门的世界:Hacking Team Win32监控代码分析

Hacking Team,一家意大利软件公司。其公司主要是向各国政府及法律机构销售入侵及监控软件。7月5号晚受到黑客攻击,400G的资料遭到泄漏,0Day,各种漏洞的利用也一同被世人所知道,其公司最著名的就是其RSC(Remote Control System,远程控制系统)的部分源码也遭到泄漏,其监控的平台上到MacOS至Symbian,所有你熟知的平台包含在内。

在泄漏的文件中我们发现有对Win32平台的监控代码,其监控的范围之大也是让人惊讶,从对浏览器到各类社交软件,涵盖的范围只有你想不到的,没有他监控不到的。

Win32监控实现:

Win32的监控模块代码位于/core-win32-master文件夹下, 在分析其模块源码后发现,其监控模块是一个动态链接库模块,主要文件如下:

楚门的世界:Hacking Team Win32监控代码分析

图1

其主要的功能是包括有:

窃取主流浏览器Cookies与其账号等信息,如Chrome, FireFox, IExplorer 监控主流社交软件,如ICQ,版本从7.0 到8.0,MsnLive,涉及的版本从85到2010,Skype版本从2.0到4.0,Yahoo Messenger,版本从7.0到10.x 对用户屏幕,WIFI,麦克风等各种信息的监控

其监控的范围如此之全面,可以想象一但你的电脑被入侵了,那麽你的隐私已经完全不存在了,因为你一切的操作都在别人的监控之后。

通过分析,可以发现其def的存在。

楚门的世界:Hacking Team Win32监控代码分析

图2

其中HM_sMain接口为其核心框架,其主要的功能是初始化各种不同类型的监控处理与启动与其他不同类型的处理。

接下来简单的介绍一下HM_sMain这一接口。

首先HM_sMain会调用InitAgents函数初始化其各种类型的监视处理事件。

楚门的世界:Hacking Team Win32监控代码分析

图3

从其初始化的信息可以看到,Hacking Team位于Win32下的监控信息如此之全,在这种情况下你还有隐私可言吗,已经不能一起愉快的玩耍了。

这些事件的注册最终会调用AM_MonitorRegister这一函数,这函数功能比较简单,只是把不同的事件处理函数放到一个全局的结构体数组中。

楚门的世界:Hacking Team Win32监控代码分析

图4

楚门的世界:Hacking Team Win32监控代码分析

图5

从其成员可以看到AMDispatchStruct结构体主要保存着各种监控事件的初始化函数等。

这一结构体数组是后续监控消息派发的重要依据,原理跟windows的消息派发机制一样。

接着创建AM_Main线程,而该函数的主要左右类似于Windows的消息回调,主要是派发各种监控消息的。

楚门的世界:Hacking Team Win32监控代码分析

图6

楚门的世界:Hacking Team Win32监控代码分析

图7

最终AM_Dispatch会调用之前不同监控类型消息的处理函数。

监控模块实现:

其主要的监控系统分为5个模块,其不同的模块分别对应着不同的监视目的,其模块主要有HM_IMAgent(社交类软件监控),HM_MailAgent(邮箱信息监控),HM_MicAgent(麦克风等设备监控),HM_PWDAgent(用户账号信息窃取),Social(浏览器监控)。

简单介绍下其中部分模块的功能与作用。

HM_IMAgent模块:

其模块的位于/core-win32-master/HM_IMAgent下,其代码文件如下:

楚门的世界:Hacking Team Win32监控代码分析

图8

从其代码可以看到,其针对了不同的社交软件设计出不同的模块窃取用户信息。

以下以Msn Live 2009为例:

其模块的主要功能是获取用户列表跟历史记录。

以下为GrabUserList的实现代码:

楚门的世界:Hacking Team Win32监控代码分析

图9

其实现的手法主要是利用获取窗体的标题不断的枚举MsnLive的用户数据。

PWDAGENT模块:

其实现位于/core-win32-master/HM_PWDAgent下,文件结构如下:

楚门的世界:Hacking Team Win32监控代码分析

图10

其中以针对outlook程序的为例:

其主要的功能为DumpOutlook与DumpOutlookxp这两个函数中,其主要的功能是窃取用户的Outlook账号信息。

楚门的世界:Hacking Team Win32监控代码分析

图11

HM_MailAgent模块:

其模块源码位于/core-win32-master/HM_MailAgent下,其文件结构如下:

楚门的世界:Hacking Team Win32监控代码分析

图12

以下为Microsoft Windows Mail 6.x  窃取邮箱资料的处理函数。

楚门的世界:Hacking Team Win32监控代码分析

图13

以上的介绍也仅仅是介绍了其监视系统的一部分,这是一个庞大的系统,感兴趣的童鞋可以继续深入。

总结:

可能看得出来,Hacking Team对于Win32平台下的监控非常完善,如果你的电脑被入侵的话,你的个人隐私完全曝光在他人监视之下,恰如电影《楚门的世界》中的主角。所以用户应当提高自己的防范意识。

一些安全建议:

1.不要安装来历不明的应用软件,因为你并不知道他的真实的具体用途。 2.对于Windows平台已经有很多优秀的安全软件,你可以选择一款保护你的系统。 3.经常更新一些已修复的漏洞,不断的加固自己的防御。

*作者:金山毒霸(企业帐号),转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

正文到此结束
Loading...