Hacking Teamのリモートコントロールシステムの簡単な分析

7月5日夜、イタリアの遠隔操作ソフトメーカー「ハッキングチーム」の内部情報が流出した。その衝撃はスノーデン事件やウィキリークス事件に劣らないものだった。同社が保有する400GBものデータの流出と、それに伴う混乱は業界を騒然とさせた。本稿執筆時点では、Gamma Group Hacker を含む複数のグループがこの活動の犯行声明を出している。この主張が本当に信頼できるものであることを証明する事実はないが、エンドユーザーへの攻撃からミドルチェーンへの攻撃、さらには攻撃組織間の内紛へと進化するという、ブラック産業チェーンの「新しい」形態が明らかになった。この形態は、ブラック産業からサプライヤーと政府機関の問題へと高まっており、ミドルチェーンに関わる組織に警鐘を鳴らしたと言わざるを得ない。

Hacking Teamはイタリアのミラノにソフトウェア会社を登録しており、主に政府や法務機関に侵入および監視機能を備えたソフトウェアを販売しています。同社のリモート制御システムは、インターネットユーザーの通信を監視し、ユーザーの暗号化されたファイルや電子メールを復号化し、Skype やその他の VoIP 通信を記録し、ユーザーのマイクやカメラをリモートで起動することができます。同社はイタリアに本社を置き、40人以上の従業員を擁し、アナポリスとシンガポールに支店を構え、その製品は数十カ国で使用されている。

偶然にも、この事件の責任を主張している組織であるガンマ・グループ・インターナショナルも、2014年8月にハッキング被害に遭っています。その事件では、40GBの内部文書と悪意のあるプログラムコードが漏洩しました。この組織は、背景や事業内容の面では Hacking Team に似ていますが、イギリスの会社です。

リーク：ハッキングチーム

漏洩した Hacking Team のデータ パッケージには、主に次のいくつかの主要部分が含まれています。

• リモートコントロールソフトウェアのソースコードは、その核であり、暫定的にHacking Team RCSと呼ばれています。
• ウイルス対策分析ツールおよび関連ディスカッション文書
• 0Day、脆弱性、および関連する侵入ツール
• 侵入プロジェクトに関連する情報（アカウントのパスワード、データ、音声およびビデオ資料など）
• オフィス文書、電子メール、写真
• 他の

分析: リモート コントロール システム

ご存知のとおり、IT 運用および保守管理では、Dameware などのリモート コントロール ソフトウェアがよく使用されます。ただし、市場で一般的なリモート コントロール ソフトウェアと比較すると、Hacking Team RCS には次のような主な違いがあります。

• 完全なシステムアーキテクチャにより、侵入からターゲット情報の収集と分析までソフトウェアを体系的に管理します。
  • このアーキテクチャには、侵入、インストール、情報収集、監視、集中管理などの機能を実行するために相互に連携するさまざまな機能モジュールが含まれています。
• 情報を収集するソフトウェアは、さまざまなデータ、画像、音声、ビデオなど、対象ユーザーの情報をバックグラウンドで収集してアップロードします。
• 侵入ツールは、さまざまな脆弱性、エクスプロイト、自動化ツールを備えたソフトウェアで使用され、ターゲットにエージェントを強制的にインストールします。
• 適応性が高いデスクトップOSはWindowsからMacOS Xまで幅広く、モバイルOSは基本的に市場で人気のあるシステムをカバーしています。
• 追跡防止: ソフトウェアはローカルと送信中の両方でデータを暗号化し、追跡者が攻撃者を見つけることを困難にします。
• アンインストール対策およびウイルス対策検出: ソフトウェア エージェントはアンインストール方法を提供しておらず、さまざまな手段を使用してウイルス対策ソフトウェアを回避します。

Hacking Team RCS システムアーキテクチャ

RCS (リモート コントロール システム) システムは、完全なプラットフォーム監視システムを実装した政府傍受用のハッカー スイートです。

RCS の主要コンポーネント

各コンポーネントの具体的な機能は次のとおりです。

• フロントエンド: 傍受されたデバイス上で実行されているプロキシを受信し、バックエンドの分離バリアとして機能して、RCS インストールのセキュリティを確保します。システム要件は Windows 2003 または 2008 です。
• バックエンド: 全体の機能の中核であり、エージェントから収集されたすべてのデータを保存し、管理コンソールからの要求を処理します。すべての RCS データは標準のリレーショナル データベースに保存されるため、このサービスでは、顧客の要件に応じて自動バックアップやカスタマイズされたデータ マイニングなどの追加機能も提供されます。システム要件は Windows 2003 または 2008 です。
• 管理コンソール: RCS コンソールは、すべてのリモート コントロール システム (RCS) 機能にアクセスして制御するために使用されるアプリケーションです。オペレーターは、システムへのさまざまなレベルのアクセスを許可できます。管理者は、ユーザーとグループの作成、権限の付与、調査の管理、システムの監査を行うことができます。技術者は、ターゲット感染を作成し、プロキシの動作を構成/再構成するキャリアです。ビューアーは、ターゲットからの情報を閲覧し、それを分類または出力します。システム要件は、Windows、MacOS X、または Linux です。

• ターゲット:RCS エージェントは、ターゲットのコンピューターまたはスマートフォンを監視するソフトウェア コンポーネントです。正常にインストールされると、エージェントは収集したデータをデバイスのネットワークを介してフロントエンドに送信します。このデータには、スクリーンショット、電話の通話など、さまざまな種類があります。

  • RCS エージェントをインストールするには、ローカルとリモートの 2 つの方法があります。ローカル インストールは主に、デスクトップ システム上の CD または USB ストレージ デバイスから、またはスマートフォン上の USB から起動することによって行われます。リモート インストールは、Melting ツール、Exploit ポータル、ネットワーク インジェクター、およびリモート モバイル インストールを介して行われます。また、各 RCS エージェントはリモート コマンドを使用してアンインストールできます。

  • RCS エージェントのシステム要件:

  • Windows XP、Vista、7 (32/64 ビット)

  • MacOS X 10.6 Snow Leopard、10.7 Lion

  • Windows Mobile 6、6.5

  • iOS 3、4 (iPhone/iPad)

  • Symbian S60 第3版および第5版

  • BlackBerry 4.5以降

• アノニマイザーの目的は、フロントエンドの実際の IP アドレスを隠すことです。アノニマイザー間の接続データは完全に暗号化されており、復号化データは存在しないため、信頼できないネットワークや国に配置することができます。

• コレクション ノード 情報収集機能は、コレクション ノードを通じて完了し、クライアントがアップロードした情報を収集し、クライアントがサーバーから新しい構成とプラグインをダウンロードできるようにします。このノードは、ASP サービスを提供することで対話を完了します。このノードは、制御システム全体の中で外部からアクセスできる唯一のノードであるため、その保護も非常に重要です。たとえば、ファイアウォールなどの手段を使用して、ある程度隔離する必要があります。また、アノニマイザー チェーンを使用して、ASP の実際の IP アドレスを隠す必要があります。

  • RSSM (モバイル コレクション ノード) はコレクション ノードの補足であり、Bluetooth などの手段を通じてコレクション ノードの機能を実行し、ノードはコレクション ノードとの同期プロセスも実行します。

• ログ リポジトリ ログ リポジトリ (RCSDB) は、RCS システムのストレージ コンポーネントです。ストレージ情報には次のものが含まれます。

  • 訪問したウェブサイト
  • ファイル操作
  • キーロガー
  • 文書および画像情報
  • VoIP電話監視（Skypeなど）
  • プログラム実行情報
  • オーディオモニタリング
  • ウェブカメラ監視
  • スクリーンショット
  • インスタント メッセージング (Skype、Windows Live Messenger、WeChat など)
  • クリップボード情報
  • パスワード情報（メールアカウント、WindowsLiveアカウントなど）
  • メールの送受信
  • 電話録音
  • GPS位置情報
  • 連絡先

上記の分析から、今回流出したハッキン​​グチームの各種プログラムには、攻撃の各段階で必要となる制御および利用ツールが比較的完全に網羅されていることがわかります。より古典的なコードのいくつかについては、調査を行い、これらのツールキットの機能を示し、その使用範囲について一般的な説明を行いました。このRCSシステムでは、電話、PC、ネットワーク上で制御と情報収集が行われます。

Hacking Team RCSの基本機能

電話監視

電話監視のために、さまざまなプラットフォーム用のエージェントプログラムが開発されています。ここにリストがあります

• core-winphone: Windows Phone モバイル プラットフォーム用のリモート コントロール トロイの木馬クライアント。ターゲット システムの状態、GPS、アドレス帳、通話と SMS の記録、カレンダーのスケジュール、その他の個人情報に関するリアルタイム情報を収集するために使用されます。また、電話画面の録画やキャプチャなどのスケジュールされたタスクを実行でき、電話のカメラとマイクをリモートで開く機能もあります。
• core-winmobile: 時代遅れの Windows Mobile プラットフォーム用のリモート コントロール トロイの木馬クライアント。ターゲットの個人情報を収集するためにも使用され、リモートコントロール、収集、録画、スクリーンショットなどの機能を備えています。
• core-symbian: Symbian モバイル プラットフォーム用のリモート コントロール トロイの木馬エージェント。GPS 位置情報、通信記録、ショート メッセージなどの機密記録を収集するために使用され、マイクをリアルタイムでリモート監視するなどの機能があります。
• core-android-audiocapture: AudioFlinger 関連プロセスを挿入してマイクと受信機のオーディオを記録する Android プラットフォーム用の音声モニタリング ツール。ツール全体には、インジェクション ツール ハイジャックと、インジェクションされたライブラリ libt.so が含まれています。インジェクション後、オーディオ情報はダンプ ファイルに記録されます。ハッカーは、decoder.py スクリプトを使用して、ダンプ ファイルを wav ファイルに復元できます。 Android 3.x から 4.x で実行できます。
• core-android: Android 用の RCS アプリケーション。比較的充実した機能を備えたツールです。ソーシャル ソフトウェアから情報を収集できます。多くのエクスプロイト ツールもアプリケーションにパッケージ化されています。
• core-blackberry: BlackBerry 用の RCS ソフトウェアです。

デスクトップシステムの監視

• core-macos: Max OS X プラットフォームの実行可能ファイル macho ファイル用のシェル暗号化および難読化プログラムが含まれています。また、Mac OS X プラットフォーム用のリモート コントロール トロイの木馬クライアント プログラムも含まれており、ターゲット システムのネットワーク接続やファイル システムなどの情報を収集するために使用されます。また、iMessage、Skype、クリップボードなどのアプリケーションから機密情報を盗むこともできます。キーボードのログを記録したり、スクリーンショットを撮ったり、カメラを開いたりすることもできます。
• core-win32: Windows プラットフォームのトロイの木馬。主な機能は次のとおりです。1. Chrome、FireFox、IE などの主流のブラウザーから Cookie やその他の情報を盗む。2. GMail、Outlook、Facebook、Twitter、MSN、Skype、ICQ、Yahoo、Google Talk、Mozilla Thunderbird などの使用状況を監視し、アカウント情報、関連する連絡先情報などの関連情報を収集する。 MSNバージョン6.0から2011、Yahoo Messagerバージョン7.xから10.x、ICQ Messenger v7.xを監視します。3. マイクとカメラを監視します。
• core-win64: core-win32 に対応し、これも Windows プラットフォームのトロイの木馬ですが、プロジェクトには 64 ビット システムに固有の API フック フレームワークのみが含まれています。
• Soldier-win: Windows プラットフォームのトロイの木馬。機能には、ターゲット コンピューターの基本情報の取得、ブラウザーの Chrome、Firefox、IE のパスワードと Cookie の盗難、Facebook、Gmail、Twitter、Yahoo 関連の情報の盗難、画面の監視、カメラの監視などが含まれます。
• scout-win: スクリーンショット、CPU、メモリ、ユーザー名などのターゲット コンピューターの基本情報の取得など、比較的単純な機能を備えた Windows プラットフォームのトロイの木馬です。 AntiVM、API アドレスの動的取得、ブラックリストなど、いくつかのシンプルな検出防止メカニズムを備えています。サブプロジェクトVMProtectDumperは、VMProtectの特定のバージョン用のシェルマシンです。

侵入支援機能

制御対象ソフトウェアをターゲットにインストールし、ホストを制御するために必要な機能もいくつか提供されています。

• driver-macos: Mac OS X プラットフォーム用のカーネルレベルのルートキットが含まれており、ユーザープロセスの隠蔽、ファイルシステムの隠蔽などの機能を備えています。また、システムコールや mach_trap_table をフックしたり、ユーザー空間バックドアの実行状態をリアルタイムで追跡したりすることもできます。
• core-packer: Windows プラットフォーム上の PE 実行可能ファイル用のパッカー、暗号化、難読化プログラム。
• core-android-market: org.benews.BeNews という Android apk アプリケーションとローカルで実行されるサーバーを含む、Android のニュース プッシュに似たアプリケーションである必要があります。通信データは bson 形式です。 apkアプリケーションには自己起動機能があり、プッシュサービスを開始します
• core-android-native: put_user_exploit、towelroot エクスプロイト、selinux エクスプロイトなど、Android 4.1 より前のすべてのエクスプロイトを含む関連エクスプロイトのコレクション。

• vector-ipa:ipa は、RCS システムの一部である Injection Proxy Appliance の略語です。

  • RCS インジェクション プロキシ アプライアンス (RCS IPA) は、中間者攻撃手法とストリームライン インジェクション メカニズムを使用した攻撃に使用されるセキュリティ デバイスです。LAN 上や内部スイッチ上など、さまざまなネットワーク状況で透過的に動作できます。
  • IPA は監視対象のネットワーク トラフィックから HTTP 接続を検出し、中間者攻撃を実行できます。主な攻撃方法は、EXE 挿入、HTML 挿入、置換攻撃の 3 つです。監視対象の HTTP 接続が事前に設定されたルールに一致すると、IPA はインジェクション攻撃を実行します。 IPA は、挿入する必要があるユーザー (IP アドレスなど) やリソース (実行可能ファイルなど) などのルールを設定できます。

• driver-win32: core-win32 に対応するカーネル ドライバー モジュールは、権限昇格、機密レジストリの操作、SSDT の回復などの機能を提供します。

• driver-win64: 32 ビット バージョンのドライバーと比較すると、多くの機能コードのみがコメント アウトされています。

• vector-silent: トロイの木馬補助プログラム: ドロッパーとデパッカー

• vector-applet: トロイの木馬をインストールするために使用される Java アプレットです。使用される脆弱性は、twostage および weaponized フォルダの readme に説明されている「XMLDecoder を介して Bridge インスタンスへの参照を取得し、クラスの混乱を引き起こす」という未知の脆弱性である可能性があります。

• vector-edk: Intel UEFI (Unified Extensible Firmware Interface) BIOS バックドア埋め込みツール

• vector-offline2: 物理的に接触すると RCS バックドアを埋め込むことができる RCS ツールキットのオフライン インストール。 オフライン インストール ツールは、CD-DVD/USB などの起動可能なメディアに書き込むことができます。コンピュータ システムに物理的にアクセスできる場合は、メディアを使用してシステムを起動し、バックドアをコンピュータのオペレーティング システムに直接埋め込むことができます。現在、Linux/OS X/Windows システムでのオフライン インストールをサポートしています。使いやすいグラフィカル インターフェイスを提供し、コンピューター上のさまざまなオペレーティング システムと各オペレーティング システム上のユーザーを自動的に識別し、さまざまなユーザーに対して異なるタイプのバックドアを埋め込むことができます。
• vector-offline: オフライン インストール ツールのソース コードの Windows バージョン。
• vector-recover: Windows 用のダウンローダー。ダウンローダー自体はアイコンとバージョン情報を変更し、東芝の Bluetooth アシスタント ツール btassist.exe に偽装します。ダウンローダー自体は、2 つの固定 URL (GET /gh/3735928545/deadbee2) をループして、ダウンロードされたデータの最初の 32 バイトが「3j9WmmDgBqyU270FTid3719g64bP4s52」であるかどうかを判断します。そうである場合は、33 バイト目以降のデータを一時ディレクトリの msupd64.exe ファイルに保存し、ファイルを実行します。
• vector-rmi: WAP PUSH メッセージを送信するためのコマンドライン ツール。WAP PUSH 機能をサポートする携帯電話にリンクを SMS メッセージとして送信できます。さまざまなパラメータをカスタマイズできます。

ハッキングチームのRCS侵入方法

Hacking Team RCS ソフトウェアは、主に次の 3 つの方法でターゲットに侵入します。

リムーバブルメディアへの感染

多くのトロイの木馬、ウイルス、不正ソフトウェアの拡散と同様に、このソフトウェアはまずこの低コストの方法を採用して、CD-ROM、USBなど、ターゲットに到達できるいくつかのモバイルメディアに感染します。OSまたはBIOSにパスワードが設定されていても、感染する可能性があり、これにより、コンピューターがインターネットにアクセスできるかどうかなど、いくつかの環境データを取得し、その後のアクションの参照を提供します。

プロキシ攻撃

ネットワーク セッション中にソフトウェアまたはハードウェアを使用してデータを変更および挿入するシステム。場合によっては、データがシステムに挿入されて検出が困難になることもあります。同時に、Windows プラットフォーム上の実行ファイルにも感染する可能性があります。ターゲット コンピューターが Web サイトからこれらの実行ファイルをダウンロードして実行すると、ユーザーが知らないうちにエージェントがバックグラウンドで自動的にインストールされます。

アプト

上記の 2 つの方法が効果的でない場合は、関連する脆弱性、侵入ツール、その他の悪用手段を使用して、さまざまな侵入形式を組み合わせて使用​​します。詳細な分析と保護計画については、後続のレポートで発表されます。

Hacking Team RCS情報アップロード

クライアントが収集する情報収集に使用されるアップロード チャネルは、強力に暗号化され、認証が必要な通信プロセスです。同時に、アップロード チャネル全体の設計は、ファイアウォール、ドメイン認証機能を備えたプロキシなどを考慮した複雑なネットワーク環境に基づいており、これらの操作は、通常のユーザーが Web を閲覧するプロセスを模倣して実行されます。

情報収集機能は、クライアントによってアップロードされた情報を収集するコレクション ノードによって完了され、クライアントがサーバーから新しい構成とプラグインをダウンロードできるようにします。このノードは、ASP サービスを提供することによって対話を完了します。このノードは、制御システム全体の中で外部からアクセスできる唯一のノードであるため、その保護も非常に重要です。たとえば、ファイアウォールなどの手段を使用して、ある程度隔離する必要があります。また、アノニマイザー チェーンを使用して、ASP の実際の IP アドレスを隠す必要があります。

RSSM (モバイル コレクション ノード) はコレクション ノードの補足であり、Bluetooth などの手段を通じてコレクション ノードの機能を実行し、ノードはコレクション ノードとの同期プロセスも実行します。

脅威インテリジェンス

原題: Hacking Team リモート コントロール システムの簡単な分析

キーワード: