Các công cụ tự do dò tìm phần mềm độc hại của Hacking Team trong các hệ thống

Free tools for detecting Hacking Team malware in your systems

Posted on 21.07.2015, By Zeljka Zorz, HNS Managing Editor

Theo: http://www.net-security.org/malware_news.php?id=3079

Bài được đưa lên Internet ngày: 21/07/2015

Xem thêm: Các chuỗi bài về mất an toàn mạng đáng lưu ý

Lo lắng là bạn có thể là mục tiêu của phần mềm gián điệp của Hacking Team, nhưng không biết cách tìm ra nó một cách chắc chắn phải không? Hãng an toàn CNTT Rook Security đã phát hành Milano, một công cụ tự động tự do dò tìm được phần mềm độc hại của Hacking Team trên hệ thống máy của bạn.

Nó làm được thế bằng việc tìm các tệp có liên quan tới lỗ hổng của Hacking Team gần đây. Công cụ đó vẫn còn ở bản beta, và hiện tìm kiếm hệ thống cho 40 tệp thực thi và thư viện của Windows. Danh sách được kỳ vọng sẽ mở rộng khi các nhà nghiên cứu của công ty tiếp tục rà soát lại các dữ liệu bị rò rỉ của Hacking Team.

Milano đưa ra 2 lựa chọn quét: quét nhanh và quét sâu. Cái trước tìm các tệp bằng tên tệp, và nếu nó thấy một tệp khớp với danh sách, thì nó kiểm tra liệu hàm băm được tính của tệp đó có khớp với hàm băm từ tệp có liên quan tới Hacking Team hay không.

Cái sau kiểm tra tất cả các hàm băm được tính của tệp đối với tất cả các MD5 từ các tệp có liên quan tới Hacking Team (và điều này có thể mất 1 giờ hoặc hơn, phụ thuộc vào hệ thống).

“Lỗ hổng này từng rất độc đáo về bản chất và thách thức các nhà bán hàng công nghệ an toàn có được các bản mẫu của mã để tạo ra các chữ ký và các bản vá, vì thế để lại các điểm các hệ thống tiềm tàng bị tổn thương đối với các tác nhân bất chính tìm cách vũ khí hóa các công cụ sở hữu độc quyền một thời của Hacking Team”, J.J. Thompson, CEO của Rook Security, nói.

“Sau khi Đội Tình báo của chúng tôi nhanh chóng suy ra được cách mã rò rỉ có thể được vũ khí hóa và sử dụng để gây hại, chúng tôi ngay lập tức đưa một đội vào để nhận diện, phân tích, và dò tìm các tệp độc hại nằm trong các dữ liệu này”.

Facebook cũng đã chào một cách thức phát hiện nếu các máy Mac của bạn đã bị phần mềm độc hại của Hacking Team làm tổn thương: họ đã cung cấp một gói yêu cầu cụ thể cho công cụ phân tích hệ điều hành nguồn mở của nó osquery, nó sẽ nhận diện các biến thể được biết của các cửa hậu của Mac OS X - liệu có bị các APT tận dụng hay không.

“Gói này là dấu hiệu cao và sẽ gây ra gần với dương tính giả 0”, kỹ sư an toàn của Facebook Javier Marcos de Prado hứa hẹn, và bổ sung thêm rằng vài yêu cầu trong gói đó ngụ ý nhận diện được cửa hậu trên OS X của Hacking Team trong hạ tầng của một tổ chức.

Các dữ liệu bị rò rỉ của Hacking Team đã trao cho chúng ta sự thấu hiểu trong các khả năng của công ty và các công cụ gián điệp của họ, nhưng điều này mới chỉ là bắt đầu. Núi dữ liệu là khổng lồ, và nhiều tiết lộ không vui chắc chắn sẽ tới.

Worried that you might have been targeted with Hacking Team spyware, but don't know how to find out for sure? IT security firm Rook Security has released Milano, a free automated tool meant to detect the Hacking Team malware on a computer system.

It does so by looking for files associated with the recent Hacking Team breach. The tool is still in beta, and currently searches the system for 40 Windows executable and library files. The list is expected to expand as the company's researchers continue to review the leaked Hacking Team data.

Milano offers two scanning options: quick scan and deep scan. The former searches for files by filename, and if it finds one that matches the list, it checks whether the file’s computed hash matches the hash from the Hacking-Team-associated file.

The latter checks all files' computed hashes against all md5s from Hacking-Team-associated files (and this can take an hour or more, depending on the system).

“This breach has been very unique in nature and challenging for security technology vendors to obtain code samples to create signatures and patches, thereby leaving scores of systems potentially vulnerable to nefarious actors seeking to weaponize Hacking Team’s once proprietary tools,” said J.J. Thompson, CEO of Rook Security.

“After our Intelligence Team quickly deduced how the leaked code could be weaponized and used for harm, we immediately put a team in place to identify, analyze, and detect malicious files located in this data.”

Facebook has also offered a way to discover if your Mac(s) have been compromised by Hacking Team malware: they have provided a specific query pack for its open source OS analysis tool osquery, which will identify known variants of Mac OS X backdoors - whether leveraged by APTs or not.

"This pack is high signal and should result in close to zero false positives," Facebook security engineer Javier Marcos de Prado promises, and adds that several queries in the pack are meant to identify the Hacking Team OS X backdoor in an organization's infrastructure.

The leaked Hacking Team data has given us insight into the company's capabilities and that of their spying tools, but this is just the beginning. The data trove is huge, and more unpleasant revelations are sure to follow.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com