几款免费工具助你查明是否感染了Hacking Team恶意软件

你是否百分之百确信自己的设备没有感染Hacking Team监视恶意软件，无论那意味着你可能是某国政府的目标，还是某个对Hacking Team的恶意软件重新做了手脚的网上卑鄙小人的受害者?当然了，Adobe和微软已发布了应急补丁，以对付披露的Hacking Team漏洞，但是你扫描计算机，确信它没有受到感染岂不是明智之举?现在你可以检查自己的计算机是否感染了Hacking Team的间谍软件，因为Rook Security公司已发布了一款免费的检测工具，这款名为“Milano”的工具旨在帮助个人和企业查明自己的机器是否受到了感染。

Rook Security一直在与美国联邦调查局(FBI)印第安纳波利斯网络特别小组合作，对付披露的Hacking Team文件中发现的“恶意的、可改造成武器”的漏洞。为了减小对关键基础设施造成的潜在影响，他们携手起来，识别出了可改造成武器的恶意文件。另外，他们的目的还在于“为受感染的厂商、客户、关键基础设施、FBI、美国特勤局、国土安全部(DHS)、互联网服务提供商(ISP)及其他机构组织制作攻陷指标(IOC)和简报”;检查有没有任何客户受到了影响;并且“开发一种能力，可用于查明它们是否受到了Hacking Team文件的感染。”

Rook Security的Tom Gorup近日宣布发布Milano v1.0.1时表示，Milano的这款最新版本得到了改进，从原先40个文件散列增加到了312个恶意或可改造成武器的文件散列。更新后的攻陷指标(IOC)与新的Milano版本捆绑在一起。“没必要同时下载Milano和IOC文件。我们提供了两者，让用户可以结合其工具库中的任何工具来充分利用这些信息。”

Gorup补充说：

到目前为止，我们将工作重心在放在一个Windows可执行文件和诸多DLL文件上。我们已完成了分析800多个Windows、Exe和DLL文件的工作，因而查出了总共312个被标为恶意文件或者能够被用来支持间谍软件的可执行文件。

此外，我们的分析工作在继续进行，致力于Linux和OSX特有的文件。眼下我们已识别了Linux特有的126个文件。我们完成分析这些文件的工作后，就会发布新的IOC文件，所以到时请关注我们的博客，了解更多信息。

Milano的功能特性在“不远的将来”会得到加强，包括“自动检测操作系统、自动更新ICO以及OpenIOC格式化文件作为输入源。一旦发布，这些功能特性将让Milano能够作为脚本来运行，能够识别哪个操作系统在运行，并寻找针对特定操作系统的IOC。自动更新功能会更新IOC，每当它运行，就会寻找IOC的版本。这可以确保每当执行Milano，IOC在将来就会自动更新。”

你可以使用Milano执行快速扫描或深度扫描，以查找Hacking Team关联文件。Hacking Team的统一可扩展固件接口(UEFI)BIOS rootkit特别令人担忧;它会偷偷地重新安装，将其远程控制系统(RCS)代理一直安装在目标的系统上。“即便用户格式化了硬盘，重装了操作系统，甚至购买了新硬盘，微软Windows安装并运行起来后，RCS代理还是会安装在上面。”也许Milano能发现这种情况，深度扫描似乎是最佳方法，尽管要花很长的时间来运行。

下载并解压缩Milano v1.01后，你会看到一个文档，附有Rook的Hacking Team数据分析图，还有一个名为“RookMilano”的文件夹。打开RookMilano文件夹，可以看到：

Rook Milano解压缩Rook Security

解压缩Milano文件内容后，点击milano.exe应该会运行该程序，除非你是在64位机器上。Rook Security告诉我，该程序面向32位系统，但是Windows 8.1. 64位用户可以运行该程序，只要使用命令提示符，将目录换成milano.exe所在的目录即可。

Rook Security的Milano工具Rook Security

Milano打开后，你会看到公司标识;按回车键。你看到责任声明的法律限制后，然后再按回车键。你看到软件服务原有声明的限制后，再按回车键。之后，你面临这个选项：选择“q”表示快速扫描，选择“d”表示深度扫描;选择一种扫描模式，然后按回车键。它会问你是否想使用Windows的默认路径;可以选择yes或no，但是如果你不知道该选哪个，那就试一下表示yes的“y”，按回车键。

它在扫描每个项目时，你希望看到“文件干净”。扫描完成后，需要分析的任何文件都会标以A(表示通过VirusTotal检测出来)、标以B(表示通过人工分析检测出来)、标以C(表示来自恶意项目)或者标以D(表示未确定)。结果保存成一个文本文件。如果你没有看到标以上述符号的任何文件，那么表明你的系统完全很干净。

Rook Security的Milano深度扫描结果

Rook的Hacking Team数据分析包括一张表，所附数据来自GitHub HackingTeam软件库;Rook将一些文件标以“W”，这意味着它可改造成武器。

Rook Security的Hacking Team数据表

之前，免费的监视恶意软件检测工具Detekt可以发现FinFisher和Hacking Team编写的远程控制系统工具包留下的痕迹。但是厂商们迟早会改动间谍软件，因而这个工具变得过时了。明智之举就是扫描并确信你的系统没有被感染，但是如果你需要试一下Milano的理由，不妨考虑国际特赦组织(Amnesty International)在Detekt发布后所说的一番话。“设想你绝不是唯一可能中招的。有人在背后窥视你，记录下你在计算机键盘上输入的每个字符，读取和侦听你的私密Skype会话;使用你手机的麦克风和摄像头来监控你和同事，而你完全蒙在鼓里。”

如果你认为这种事不太可能发生，那么不妨再好好想一想，因为研究人员Collin Mulliner发现，Hacking Team(转手卖给专制政府的卑鄙之徒)拿来他的开源漏洞工具后，并它们整合入到其安卓监视软件中，然后卖给全球各地大搞间谍活动的政府。Mulliner说：“看到自己的开源工具被Hacking Team用来制作窥视活动积极分子的产品，我很愤怒，也很难过。”Mulliner在一个例子中提到了他的安卓语音呼叫拦截工具，Hacking Team利用该工具来截获音频，比如被感染的安卓手机收听所及范围之内的会话。

防范面向安卓和iOS移动设备的Hacking Team恶意软件

如果这让你因此担心自己的手机可能感染上了Hacking Team的监视恶意软件，那么Lookout发出了一封电子邮件，声称“其客户(安卓平台和iOS平台上的客户)都受到了保护，远离所有最新形式的Hacking Team间谍软件产品。”

检测面向OS X的Hacking Team间谍软件

最后，Facebook发布了新的osquery查询包，以检测OS X上的Hacking Team的远程控制系统。“攻击者在继续设计和部署Mac OS X后门。我们已经在Flashback、IceFog、Careto、Adwind/Unrecom以及最近的HackingTeam上看到了这一幕。OS X攻击包拥有的查询可以识别恶意软件的已知变种，从高级持续性威胁(APT)到广告软件和间谍软件，不一而足。如果该查询包中的查询获得了结果，这意味着你的Mac机器中有一个主机感染了恶意软件。该数据包的准确度很高，误报有望接近零。”