安恒研究团队在Hacking Team泄露的文件中除了发现大量的后门、木马等攻击的源码,还发现了两个用于病毒安全性测试的源代码,分别是test-av-master和test-av2-master。从名字的命名来看,test-av2-master应该是第二个版本。
0x01分析test-av-master
其使用的版本是 0.4.1:
观察其配置文件发现,他们使用都是vmware虚拟机,并且沙盒的主控端是运行在window系统上。
从配置来看,它配置了很多虚拟机,每个不同虚拟机内部包含不同的杀毒软件,具体的杀毒引擎有:adaware、avg、avg_free、avira、avira_free、avast、bitdefender、drweb、emsisoft、kav、panda、norman、norton、trendmicro、zonealarm
其工作原理:
提交一个恶意文件到cuckoo主控端(创建一个任务id)
cuckoo系统分发提交的文件到各个虚拟机(不同的虚拟机包含有不同的杀毒软件)去执行。
存储结果
检查思路是通过多杀毒引擎的检测来达到降低查杀率。
0x02 分析test-av2-master
从整体代码来看,这是hacking term 自己开发的一个新的恶意文件扫描环境,新版从代码的修改时间来看,他们可能是2013年9月开发至2014年8月完成(这里的“完成”是指一个稳定的版本)。HT给他们起名叫RCSAVTest,从名字来看他们是用它进行RCS的查杀测试。整个工程也是使用python编写,它有两个比较重要的模块,分别是AVMaster和AVAgent。
AVMaster作为主控端,它主要都任务是:
Redis的管理
控制虚拟机
启动,停止
推送文件
启动avagent
收集avagent结果(交互)
超时管理
使用电子邮件发送结果报告
AVAgent作为代理,它主要都任务是:
打开Redis的通道
解压缩文件附件
接收命令
执行命令
更新OS和杀毒软件
扫描文件
自定义参数等
保存文件
反馈结果
从架构来看,它和cuckoo的工作原理类似,也是使用了包含很多杀毒软件的虚拟机举行病毒扫描
而在源代码的doc目录的AVTEST Box.xls记录文档里面也能看见虚拟机的配置文件。
而且包含更多的杀毒软件,比如多了360安全卫士。
两个版本相比较,改进的地方有:
为了速度使用Redis数据库,放弃使用mysql
增加了邮件通知
增加了linux、ios、osx、blackberry、android文件扫描(静态)
增加了系统和杀毒软件的日常更新功能
0x03 总结
经过安恒研究团队分析早期版本(cuckoo版本)不能解决Hacking Team的自定义需求,所以他们在使用了一段时间以后放弃转而开发新版本,新版本在架构上进行借鉴并增加了一些自定义需求。研究团队本以为它会包含特征码免杀,实际上看来只是分布式病毒查杀检查而已,原理和virustotal差不多!
稿源:安恒信息