网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


Hacking Team 病毒测试环境分析

2015-07-29 19:17 推荐: 浏览: 136 views 字号:

摘要: 0x00 前言 安恒研究团队在Hacking Team泄露的文件中除了发现大量的后门、木马等攻击的源码,还发现了两个用于病毒安全性测试的源代码,分别是test-av-master和test-av2-master。从名字的命名来看,test-av2-master...

0x00 前言

安恒研究团队在Hacking Team泄露的文件中除了发现大量的后门、木马等攻击的源码,还发现了两个用于病毒安全性测试的源代码,分别是test-av-master和test-av2-master。从名字的命名来看,test-av2-master应该是第二个版本。

0x01分析test-av-master

其使用的版本是 0.4.1:

观察其配置文件发现,他们使用都是vmware虚拟机,并且沙盒的主控端是运行在window系统上。

从配置来看,它配置了很多虚拟机,每个不同虚拟机内部包含不同的杀毒软件,具体的杀毒引擎有:adaware、avg、avg_free、avira、avira_free、avast、bitdefender、drweb、emsisoft、kav、panda、norman、norton、trendmicro、zonealarm

其工作原理:

  • 提交一个恶意文件到cuckoo主控端(创建一个任务id)
  • cuckoo系统分发提交的文件到各个虚拟机(不同的虚拟机包含有不同的杀毒软件)去执行。
  • 存储结果

检查思路是通过多杀毒引擎的检测来达到降低查杀率。

0x02 分析test-av2-master

从整体代码来看,这是hacking term 自己开发的一个新的恶意文件扫描环境,新版从代码的修改时间来看,他们可能是2013年9月开发至2014年8月完成(这里的“完成”是指一个稳定的版本)。HT给他们起名叫RCSAVTest,从名字来看他们是用它进行RCS的查杀测试。整个工程也是使用python编写,它有两个比较重要的模块,分别是AVMaster和AVAgent。

AVMaster作为主控端,它主要都任务是:

  • Redis的管理
  • 控制虚拟机

启动,停止

推送文件

启动avagent

收集avagent结果(交互)

超时管理

  • 使用电子邮件发送结果报告

AVAgent作为代理,它主要都任务是:

  • 打开Redis的通道
  • 解压缩文件附件
  • 接收命令
  • 执行命令

    更新OS和杀毒软件

    扫描文件

    自定义参数等

保存文件

  • 反馈结果

从架构来看,它和cuckoo的工作原理类似,也是使用了包含很多杀毒软件的虚拟机举行病毒扫描

而在源代码的doc目录的AVTEST Box.xls记录文档里面也能看见虚拟机的配置文件。

而且包含更多的杀毒软件,比如多了360安全卫士。

两个版本相比较,改进的地方有:

  • 为了速度使用Redis数据库,放弃使用mysql
  • 增加了邮件通知
  • 增加了linux、ios、osx、blackberry、android文件扫描(静态)
  • 增加了系统和杀毒软件的日常更新功能

0x03 总结

经过安恒研究团队分析早期版本(cuckoo版本)不能解决Hacking Team的自定义需求,所以他们在使用了一段时间以后放弃转而开发新版本,新版本在架构上进行借鉴并增加了一些自定义需求。研究团队本以为它会包含特征码免杀,实际上看来只是分布式病毒查杀检查而已,原理和virustotal差不多!

稿源:安恒信息

联系站长租广告位!

中国首席信息安全官


关闭


关闭