几款零付费东西助你查明能否沾染了Hacking Team歹意软件

你能否百分之百确信本人的设备没有沾染Hacking Team监督歹意软件，无论那意味着你可能是某国当局的目标，还是某个对Hacking Team的歹意软件重新做了手脚的网上卑鄙小人的受害者?当然了，Adobe和微软已宣布了应急补丁，以对付披露的Hacking Team破绽，然而你扫描计算机，确信它没有遭到沾染岂不是明智之举?现在你能够检查本人的计算机能否沾染了Hacking Team的特务软件，因为Rook Security公司已宣布了一款免费的检测东西，这款名为“Milano”的东西旨在帮助个人和企业查明本人的呆板能否遭到了沾染。

Rook Security一直在与美国联邦调查局(FBI)印第安纳波利斯网络特别小组合作，对付披露的Hacking Team文件中发明的“歹意的、可改革成兵器”的破绽。为了减小对关键基础设施造成的潜在影响，他们携手起来，辨认出了可改革成兵器的歹意文件。另外，他们的目的还在于“为受沾染的厂商、客户、关键基础设施、FBI、美国特勤局、国土安全部(DHS)、互联网服务提供商(ISP)及其他机构组织制造攻陷指标(IOC)和简报”;检查有没有任何客户遭到了影响;并且“开发一种能力，可用于查明它们能否遭到了Hacking Team文件的沾染。”

Rook Security的Tom Gorup近日宣布宣布Milano v1.0.1时表现，Milano的这款最新版本得到了改进，从原先40个文件散列增加到了312个歹意或可改革成兵器的文件散列。更新后的攻陷指标(IOC)与新的Milano版本捆绑在一起。“没必要同时下载Milano和IOC文件。咱们提供了两者，让用户能够结合其东西库中的任何东西来充分利用这些信息。”

Gorup补充说：

到目前为止，咱们将任务重心在放在一个windows可履行文件和诸多DLL文件上。咱们已实现了剖析800多个Windows、Exe和DLL文件的任务，因此查出了总共312个被标为歹意文件或者能够被用来支持特务软件的可履行文件。

此外，咱们的剖析任务在继续进行，致力于linux和OSX特有的文件。眼下咱们已辨认了linux特有的126个文件。咱们实现剖析这些文件的任务后，就会宣布新的IOC文件，所以到时请关注咱们的博客，了解更多信息。

Milano的功效特性在“不远的将来”会得到加强，包括“主动检测操作体系、主动更新ICO以及OpenIOC格式化文件作为输入源。一旦宣布，这些功效特性将让Milano能够作为脚本来运转，能够辨认哪个操作体系在运转，并寻找针对特定操作体系的IOC。主动更新功效会更新IOC，每当它运转，就会寻找IOC的版本。这能够确保每当履行Milano，IOC在将来就会主动更新。”

你能够应用Milano履行疾速扫描或深度扫描，以查找Hacking Team关联文件。Hacking Team的统一可扩展固件接口(UEFI)BIOS rootkit特别令人担忧;它会偷偷地重新装配，将其近程把持体系(RCS)代理一直装配在目标的体系上。“即便用户格式化了硬盘，重装了操作体系，甚至购买了新硬盘，微软Windows装配并运转起来后，RCS代理还是会装配在上面。”也许Milano能发明这种情况，深度扫描似乎是最佳方法，尽管要花很长的时间来运转。

下载并解紧缩Milano v1.01后，你会看到一个文档，附有Rook的Hacking Team数据剖析图，还有一个名为“RookMilano”的文件夹。打开RookMilano文件夹，能够看到：

Rook Milano解紧缩Rook Security

解紧缩Milano文件内容后，点击milano.exe应该会运转该顺序，除非你是在64位呆板上。Rook Security告诉我，该顺序面向32位体系，然而Windows 8.1. 64位用户能够运转该顺序，只要应用命令提示符，将目录换成milano.exe所在的目录即可。

Rook Security的Milano东西Rook Security

Milano打开后，你会看到公司标识;按回车键。你看到责任声明的法律限制后，而后再按回车键。你看到软件服务原有声明的限制后，再按回车键。之后，你面临这个选项：抉择“q”表现疾速扫描，抉择“d”表现深度扫描;抉择一种扫描模式，而后按回车键。它会问你能否想应用Windows的默认路径;能够抉择yes或no，然而假如你不知道该选哪个，那就试一下表现yes的“y”，按回车键。

它在扫描每个项目时，你希望看到“文件干净”。扫描实现后，需要剖析的任何文件都会标以A(表现经由VirusTotal检测出来)、标以B(表现经由人工剖析检测出来)、标以C(表现来自歹意项目)或者标以D(表现未确定)。成果保存成一个文本文件。假如你没有看到标以上述符号的任何文件，那么表明你的体系完全很干净。

Rook Security的Milano深度扫描成果

Rook的Hacking Team数据剖析包括一张表，所附数据来自github HackingTeam软件库;Rook将一些文件标以“W”，这意味着它可改革成兵器。

Rook Security的Hacking Team数据表

之前，免费的监督歹意软件检测东西Detekt能够发明FinFisher和Hacking Team编写的近程把持体系东西包留下的痕迹。然而厂商们迟早会改动特务软件，因此这个东西变得过时了。明智之举就是扫描并确信你的体系没有被沾染，然而假如你需要试一下Milano的理由，不妨考虑国际特赦组织(Amnesty International)在Detekt宣布后所说的一番话。“设想你绝不是唯一可能中招的。有人在背后窥视你，记录下你在计算机键盘上输入的每个字符，读取和侦听你的私密Skype会话;应用你手机的麦克风和摄像头来监控你和同事，而你完全蒙在鼓里。”

假如你认为这种事不太可能发生，那么不妨再好好想一想，因为研究人员Collin Mulliner发明，Hacking Team(转手卖给专制当局的卑鄙之徒)拿来他的开源破绽东西后，并它们整合入到其安卓监督软件中，而后卖给全球各地大搞特务运动的当局。Mulliner说：“看到本人的开源东西被Hacking Team用来制造窥视运动积极分子的产品，我很愤怒，也很难过。”Mulliner在一个例子中提到了他的安卓语音呼叫拦截东西，Hacking Team利用该东西来截获音频，比如被沾染的安卓手机收听所及范围之内的会话。

防范面向安卓和iOS移动设备的Hacking Team歹意软件

假如这让你因此担心本人的手机可能沾染上了Hacking Team的监督歹意软件，那么Lookout发出了一封电子邮件，声称“其客户(安卓平台和iOS平台上的客户)都遭到了保护，远离所有最新形式的Hacking Team特务软件产品。”

检测面向OS X的Hacking Team特务软件

最后，Facebook宣布了新的osquery查问包，以检测OS X上的Hacking Team的近程把持体系。“攻击者在继续设计和部署Mac OS X后门。咱们已经在Flashback、IceFog、Careto、Adwind/Unrecom以及最近的HackingTeam上看到了这一幕。OS X攻击包拥有的查问能够辨认歹意软件的已知变种，从高级持续性威胁(APT)到广告软件和特务软件，不一而足。假如该查问包中的查问获得了成果，这意味着你的Mac呆板中有一个主机沾染了歹意软件。该数据包的准确度很高，误报有望接近零。”

转载自:https://netsecurity.51cto.com/art/201507/485980.htm

声明: 除非转自他站（如有侵权，请联系处理）外，本文采用 BY-NC-SA 协议进行授权 | 智乐兔
转载请注明：转自《几款零付费东西助你查明能否沾染了Hacking Team歹意软件》
本文地址：https://www.zhiletu.com/archives-4517.html
关注公众号：