Hacking Team 武器庫

0x00 序
事先聲明本人并不是全棧安全工程師，僅僅是移動安全小菜一枚，所以對泄漏資料的分析難免會有疏忽或著錯誤，望各位圍觀的大俠手下留情。

首先來看安全界元老對Hacking Team(以下簡稱HT)被黑這個事件的看法：

@tombkeeper: Stuxnet 讓公眾知道：“原來真有這種事”，Snowden 讓公眾知道：“原來這種事這么多”，Hacking Team 讓公眾知道：“原來這種事都正經當買賣干了”。

@ 趙武在路上: 2011年的時候，HBGray被黑，很多人沒有意識到意味著什么，因為跟國家安全相關。這兩天Hacking team被黑，大家也沒有意識到意味著什么。這次包括了客戶清單和0day，但我更關注的是RCS的代碼，以前行業內都是粗糙到不行的demo，工程化公 開的很少，這次會讓行業內的技術往前推進幾年，尤其是黑產。

可以說這次事件和斯諾登事件的影響力是不相上下的，但HT被黑不光光是讓公眾知 道有這回事，隨之而來還有整整415G的泄漏資料！里面有Flash 0day, Windows字體0day, iOS enterprise backdoor app, Android selinux exploit, WP8 trojan等等核武級的漏洞和工具。那么廢話不多說，武器庫導游之旅現在開始。

0x01 總覽

因為所有文件加起來的大小整整有415.77G。光下載就得好久好久。還好有人把整個鏡像放了一份在網上。有興趣的同學可以直接去查看：http://ht.transparencytoolkit.org/。據說之所以這么大是因為里面有很多的郵件。但你不用擔心你的小水管，有好人整理了一個只有1.3G的精華版。小象學院也提供一個精華版下載，回復“hack”即可獲得下載鏈接。在下載完完整版之前，我們就先拿精華版解解饞吧。

里面的數據大概是這樣的：

“HACKING TEAM PASSWORDS AND TWEETS.pdf” 里主要保存了Christian Pozzi這個人經常去的網站的賬號以及密碼以及推ter的截圖。估計他就是那個被黑了電腦的人了，因為這個人的電腦被黑，連帶著HT內網git服 務器，知識庫，郵件服務器的數據全部都被dump下來了。

Hacking Team Saudi Arabia Training.pdf里面數據貌似不全，通過提綱來開看主要是介紹了如何安裝和使用RSC (Remote Control System)系統。不得不說HT最牛的東西就是他們的RCS系統了，他們公司實現了全平臺的RSC系統（包括windows phone）。我們可以看一下他們系統的截圖：

各種監控信息詳細到令人發指。不知道有多少人被這樣監控著。

gitosis- admin-master.zip里保存了git服務器上成員的public key以及每個人負責的項目，通過”gitosis.conf”就可以大概知道哪個項目是誰在做了。比如placidi這個成員主要做android相關 的項目。Naga, daniele, zeno, diego, ivan這幾個人組要做fuzzer。Matteo, zeno, daniele這幾個主要做病毒查殺檢測。

所以接下來的章節我們也會按照他們的分組來進行分別講解。

0x02 Android

1 core-android-audiocapture-master.zip主要是利用Collin Mulliner提供的hook框架來hook mediaserver從而進行語音和通話監聽。”Pack”文件夾里保存了最后編譯完成的程序。而”references”文件夾里幾乎都是 Collin Mulliner論文的ppt，并且整個項目就是在https://github.com/crmulliner/adbi這個項目上改的。截取下來的音 頻并不是 wav格式，還需要使用”decoder”文件夾下的工具進行解密，看樣子作者除了電話監聽，還成功測試了wechat, whatsapp, skype等應用的語音截獲。

2 core-android-market-master.zip應該是用來向Google Play上傳監控應用的項目。雖然說Google Play檢測系統，但對于這種用于APT攻擊的malware是毫無作用的。在\core-android-market-master\doc \readme.txt中還保存HT開發者賬號的用戶名和密碼。但是當筆者準備嘗試登錄的時候，發現密碼已經在幾個小時前被修改了。

3 core-android-master.zip就是HT的RSC系統源碼了。除去一些編譯用的gradle文件，所有的源碼都保存在” \core-android-master\RCSAndroid”目錄下，通過這個RSC app除了可以做到基本信息監控外，還可以獲取所有主流社交應用的信息。

在 應用加固方面，這個RSC app除了使用了DexGuard進行混淆，還有虛擬機檢測功能。根據開發日志，這個項目貌似還使用很多0day的trick對應用進行混淆。非常值得以 后慢慢研究。 接下來就是重頭戲root了，主要代碼都在\core-android-master\RCSAndroid\jni 這個目錄下， 上來就能看到” exploit_list.c”這個霸氣的文件，里面可以調用各種exp來獲取root權限：

除此之外，core-android-master\RCSAndroid\jni\selinux_exploit還有繞過 selinux enforcing模式的exploit。

4 core-android-native-master.zip中有更加詳細的root項目代碼和說明，在”legacy_native”文件夾中： Suidext中包含了所有的shell。Local2root中包含了<=4.1版本的root exp。在”selinux_native”文件夾中，”Put_user_exploit”: 包含了 put_user calls的exp。”Kernel_waiter_exploit”包含了towelroot的exp。Suidext包含了新的shell。使用” build.sh”編譯完后的exp都在”bin”目錄下（這些exp是可以干掉android 5.0 selinux的）。其他的文件請參考目錄下的README.txt。因為是意大利語，請自行翻譯一下。

0x03 iOS & Mac OS

1 “core-ios-master.zip”里面的” core”文件夾中保存了RCS的主要代碼。主要是利用dylib注入對用戶輸入，GPS，屏幕等信息進行監控。

“ios- newsstand-app”文件夾應該是另一個ios應用的源碼。看代碼大概是替換ios系統的輸入法，然后進行鍵盤記錄，大概是用來攻擊沒有越獄的機 器吧。“Keybreak”文件夾是用來破解手機鎖屏密碼的，里面有lockdownd remote exploit的源碼。“ios-install-win32”和“ ios-install-osx”文件夾里是windows和mac os下來給iPhone或者iPad裝應用的工具。此外HT還擁有一個iOS enterprise帳號可以用來發布enpublic app: “UID=DE9J4B8GTF, CN=iPhone Distribution: HT srl, OU=DE9J4B8GTF, O=HT srl, C=IT”。關于enpublic app的危害，可以參考我之前的文章或論文。

2 “vector-ipa-master.zip”里面應該是另一個ios木馬的源碼，這個木馬并不是應用，貌似是一個底層網絡代理，可以用來監控或者控制系統的網絡流量。

3 “core-macos-master.zip”的”core-macos-master\core”的文件夾中保存了mac os RCS的源碼，其實就是mac os木馬了，和windows的木馬非常相似。

0x04 other systhe

1 core-winphone-master.zip是Windows Phone的RCS木馬。據說在WP設備上實現“激活追蹤”是利用了系統中的一個0day，允許第三方代碼程序像受信任程序一樣執行。該RCS還可以獲取 聯系人、日歷、通話、地理位置、短信、傳感器狀態狀態等信息。程序ID為：11B69356-6C6D-475D-8655-D29B240D96C8。

0x05 Fuzzer

1.fuzzer-windows-master.zip主要保存了windows下的fuzzer源碼。里面有針對IE和字體的Fuzzer測試系統。

2.fuzzer- android-master.zip主要保存了android下的fuzzer源碼。里面有針對jpg，sms和system call的Fuzzer測試系統。Trinity主要是用來做system call fuzzer的，比如說binder使用的ioctl()系統調用。

0x06病毒查殺檢測

test- av-master.zip是第一代產品。test-av2-master.zip是第二代產品。HT給他們起名叫AVMonitor。這個系統主要使用 來做查殺檢測，用來保證自己的產品可以通過檢測。test-av2-master.zip\test-av2-master\doc\AVTEST Box.xlsx保存了他們使用的殺毒軟件的列表和序列號。

在”test-av2-master\doc\whiteboard”文件夾中甚至有他們開會的白板照。

0x07 Exploit & 0day

vector- exploit-master.zip文件又是第二波高潮的開始，首先在里面你可以找到兩個flash的exp: 一個是Flash的0day : ActionScript ByteArray Buffer Use After Free，另一個是Nicolas Joly在Pwn2Own 2015大賽中使用的CVE-2015-0349。為了在IE和Chrome上繞過其沙盒機制完全控制用戶系統，Hacking Team還利用了一個Windows中的內核驅動： Adobe Font Driver(atmfd.dll)中存在的一處字體0day漏洞，實現權限提升并繞過沙盒機制。該0day漏洞可以用于 WindowsXP~Windows 8.1系統，X86和X64平臺都受影響。數字公司已經在很多人種子還沒下完的時候就寫出了分析報告：http://drops.wooyun.org/papers/6968，有興趣的讀者可以前去圍觀。

除了flash的兩個exp和font 0day外，在vector-exploit-master\src\ht-webkit-Android4-src目錄下還有一個Android Browser exploit，在用android brower瀏覽一個網頁后就可以在目標機器上安裝上目標apk。該漏洞會影響Android 4.0.到4.3.版本的手機。粗略看了一下源碼，利用過程十分復雜，exp的利用至少有四個stage，還用到了information leak，heap spray等技術。PS:在vector-exploit-master\src\ht-webkit-Android4-src\docs中有公司開會的時候拍的exp圖解。

0x08 其他

1.GeoTrust-master Signing Keys.zip 保存了HT的GeoTrust證書。

2. http://ht.transparencytoolkit.org/audio/ 里有大量的錄音。

3.HT在自己家的產品中留下了SQL后門，方便他們隨時查詢。http://ht.transparencytoolkit.org/rcs-dev%5cshare/HOME/ALoR/htdocs/conf.php

4.虛擬機保護殼VMProtect Professional的很多正版key泄漏

https://ht.transparencytoolkit.org/rcs-dev%5cshare/HOME/ALoR/VMProtect.key

https://ht.transparencytoolkit.org/rcs-dev%5cshare/HOME/Ivan/vmprotect/

0x09 八卦

1 Phineas Fisher號稱自己黑了gamma和HT。HT的推ter還轉發了這條消息。。。

2 HT的密碼都特別簡單，不被黑才怪。

3 http://ht.transparencytoolkit.org/c.pozzi/Desktop/you.txt 你懂的。。。(from @youstar)

0x10 未完待續

由于泄漏的資料實在太過龐大，本文還有很多的內容沒有覆蓋到。因此我們在隨后的幾天還會繼續跟進這個事件，并更新我們的文章，歡迎大家回來繼續閱讀。

作者: 烏云ID——蒸米

來源：小象