Hacking Team 病毒测试环境分析

安恒研究团队在Hacking Team泄露的文件中除了发现大量的后门、木马等攻击的源码,还发现了两个用于病毒安全性测试的源代码,分别是test-av-master和test-av2-master。从名字的命名来看,test-av2-master应该是第二个版本。

0x01分析test-av-master

alt

其使用的版本是 0.4.1:

alt

观察其配置文件发现,他们使用都是vmware虚拟机,并且沙盒的主控端是运行在window系统上。

alt

从配置来看,它配置了很多虚拟机,每个不同虚拟机内部包含不同的杀毒软件,具体的杀毒引擎有:adaware、avg、avg_free、avira、avira_free、avast、bitdefender、drweb、emsisoft、kav、panda、norman、norton、trendmicro、zonealarm

其工作原理:

提交一个恶意文件到cuckoo主控端(创建一个任务id)

cuckoo系统分发提交的文件到各个虚拟机(不同的虚拟机包含有不同的杀毒软件)去执行。

存储结果

检查思路是通过多杀毒引擎的检测来达到降低查杀率。

0x02 分析test-av2-master

从整体代码来看,这是hacking term 自己开发的一个新的恶意文件扫描环境,新版从代码的修改时间来看,他们可能是2013年9月开发至2014年8月完成(这里的“完成”是指一个稳定的版本)。HT给他们起名叫RCSAVTest,从名字来看他们是用它进行RCS的查杀测试。整个工程也是使用python编写,它有两个比较重要的模块,分别是AVMaster和AVAgent。

alt

AVMaster作为主控端,它主要都任务是:

Redis的管理

控制虚拟机

启动,停止

推送文件

启动avagent

收集avagent结果(交互)

超时管理

使用电子邮件发送结果报告

AVAgent作为代理,它主要都任务是:

打开Redis的通道

解压缩文件附件

接收命令

执行命令

更新OS和杀毒软件

扫描文件

自定义参数等

保存文件

反馈结果

从架构来看,它和cuckoo的工作原理类似,也是使用了包含很多杀毒软件的虚拟机举行病毒扫描

alt

而在源代码的doc目录的AVTEST Box.xls记录文档里面也能看见虚拟机的配置文件。

alt

而且包含更多的杀毒软件,比如多了360安全卫士。

两个版本相比较,改进的地方有:

为了速度使用Redis数据库,放弃使用mysql

增加了邮件通知

增加了linux、ios、osx、blackberry、android文件扫描(静态)

增加了系统和杀毒软件的日常更新功能

0x03 总结

经过安恒研究团队分析早期版本(cuckoo版本)不能解决Hacking Team的自定义需求,所以他们在使用了一段时间以后放弃转而开发新版本,新版本在架构上进行借鉴并增加了一些自定义需求。研究团队本以为它会包含特征码免杀,实际上看来只是分布式病毒查杀检查而已,原理和virustotal差不多!

稿源:安恒信息

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/zyfppz.html