近日,有“互联网军火库”之称的意大利监控软件厂商Hacking Team被黑客攻击,400GB内部数据泄露。泄露数据包括Hacking Team一些产品的源代码、电子邮件、录音和客户详细信息。攻击者还控制了Hacking Team推特账户,并用其发布被盗邮件的屏幕截图。Hacking Team于7月5日夺回账户,并删除了相关内容。

头条推荐

黑客公司Hacking Team被黑 泄露大量内部资料及攻击工具

Hacking Team是一家以协助政府监视公民而“闻名于世”的意大利公司,他们向包括摩洛哥、埃塞俄比亚以及美国毒品管制局在内的政府及执法机构出售入侵和监视工具…………>>详细

Hacking Team数据中惊现第二枚Flash 0day

Hacking Team是意大利一家专业从事监视技术的黑客团队及公司,曾因向政府和情报机构出售间谍软件而被起诉。因果报应终循环,该公司上周被黑客攻击,泄露近400GB的数据,里面除了有CVE-2015-5119 Flash 0day漏洞外,还有一个高危Flash 0day CVE-2015-5122。

Hacking Team数据中惊现第二枚Flash 0day漏洞

Flash 0day漏洞第二发

在Adobe公司忙于修复CVE-2015-5119 Flash 0day漏洞时,另外一个Flash 0day漏洞又出现了。目前新漏洞的利用代码已经可以在网上找到,其危害程度和CVE-2015-5119旗鼓相当,攻击者可以远程在受害者电脑上执行恶意代码,安装恶意程序。

阅读全文

Hacking Team Flash New 0Day 利用代码分

周末大清早起来,就看到知道创宇在微博上说,Hacking Team又泄露新的Flash 0Day,在当前最新实测可用。于是笔者下载了一份利用代码,经测试确实在最新版上可利用,目前Adobe官方未发布补丁。此次泄露的0day并没有在泄露的工具库里面,而是在邮件附件中被发现的。

 

 

【利用代码分析】

阅读全文

Hacking Team Android Browser Exploit代

0x0 前言

Hacking Team 415G泄露资料的vector-exploit-master\src\ht-webkit-Android4-src目录中,包含一份Android Browser exploit代码。用户在浏览器中点击攻击者的链接,便会执行恶意代码。恶意代码利用漏洞获取root权限,并静默安装木马apk。影响Android4.0-4.3版本。

0x1 漏洞利用的艺术

Exploit代码利用了三个已知的libxslt漏洞,获得对内存地址的完整控制能力。

阅读全文

一家黑客工具开发商被黑了,还扯出很多秘

近日,一家专门向政府出售黑客软件的公司刚刚被黑了,而入侵者周日晚些时候曝光的文件显示,该公司将监控技术出售给了数十个国家或地区,包括苏丹、埃及、俄罗斯和美国。

一家黑客工具开发商被黑了,还扯出很多秘密

 

这家意大利公司名为Hacking Team,又称HTS.r.l.,是为数不多的几家向全世界执法机构出售监控工具的公司之一。该公司的技术与犯罪分子使用的“恶意软件”相似,后者专门窃取用户电脑中的个人信息。

包括监控软件在内,现成的监控技术市场已经实现了大幅增长。2011年,一位行业老兵曾经估计该市场的规模已经达到50亿美元。

阅读全文

Hacking Team都干了些什么?

上周日,意大利间谍软件公司Hacking Team被黑,之后攻击者还把该公司的400G文件放到了网上,包括内部文档、源代码和通信邮件。研究人员开始分析这些文档,发现这家专门开发监视软件的公司干的“好”事还真不少。

Hacking Team专门为政府和执行部门开发入侵和监控软件,包括一些对国内实施暴力压制的政府,如埃及、黎巴嫩、埃塞俄比亚和苏丹。其中苏丹最为敏感,因为联合国对苏丹是有武器禁运令的,这个禁运令涵盖了欧盟和英国法律。Hacking Team之前一直否认与苏丹有业务关系,如果此事被证明属实,Hacking Team的麻烦就大了。 

1 

泄露出来的一份产品维护列表

根据泄露出来的文件显示,Hacking Team的客户至少包括30多个国家,总共的合同金额超过432万欧元。其中美国联邦调查局也是它的客户,文件显示自从2011年以来,FBI共花费了77.3万美元购买Hacking Team的产品。

阅读全文

Hacking Team被黑后续:攻击者浮出水面

据悉,恶名昭著的间谍软件公司Hacking Team被黑客攻击,造成内部多达400GB的数据外泄。事件曝出后,Hacking Team建议在世界各地的执法及政府客户停止使用他们的软件并宣布与FBI合作(此前FBI是他们的客户),调查此次攻击事件,将元凶绳之以法。

Hacking Team被黑后续:攻击者浮出水面

HT:千呼万唤始出来

现在,Hacking Team宣布与警方合作展开调查,并建议客户停用软件以免受损害。同时,他们呼吁:

阅读全文

Hacking Team攻击代码分析Part 1:Flash

最近专门提供通过攻击手法进行网络监听的黑客公司Hacking Team被黑,包含该公司的邮件、文档和攻击代码的400G数据泄漏。360Vulcan Team第一时间获取了相关信息,并对其中的攻击代码进行了分析。

我们发现其中至少包含了两个针对Adobe Flash的远程代码执行漏洞和一个针对微软Windows内核字体权限提升漏洞的完整攻击代码(exploit)。其中一个Flash漏洞已经在今年4月修补,其他两个漏洞都未修复。

其中Flash漏洞exploit被设计为可以针对IE、Chrome浏览器和Office软件进行攻击。攻击者通过嵌入精心构造的恶意Flash文件到网页或Office文档中,使得访问特定网页或打开Office文档的用户感染恶意代码。同时,这些恶意代码通过结合Windows内核字体权限提升漏洞,可以绕过IE(保护模式或增强保护模式)、Chrome(Chrome Sandbox,< Chrome 43)和Office(保护模式)的沙盒保护,完全控制用户的电脑。

360Vulcan Team对这些漏洞进行分析,并分为三个部分将这些0day的信息共享给安全社区,希望软件厂商和安全厂商共同行动,尽快修补和防御着这些“在野”的0day漏洞。

阅读全文

Hacking Team攻击代码分析Part 2: Pwn2Ow

前一篇文章我们分析了HackingTeam泄露数据中的Flash 0day (bytearray 0day)。而在泄露数据中我们其实还看到了另外一个名为convolution_filter的flash exploit。

看了一下这个flash exploit,我很快意识到这个漏洞是一个已经修补的漏洞cve-2015-0329,在今年4月份被修补,这也解释了readme文档中,flash后面加了“(April 2015)”,意思是这个洞只能用到今年4月之前的flash版本中:

(https://helpx.adobe.com/cn/security/products/flash-player/apsb15-06.html)

我个人对这个漏洞印象比较深,看似平凡的它有个不平凡的故事,今年的pwn2own大赛中,前Vupen主力Nicolas Joly正是用这个漏洞拿下了64位Flash插件:

阅读全文

Hacking Team攻击代码分析Part 3 : 字体0

前言

为了在IE和Chrome上绕过其沙盒机制完全控制用户系统,Hacking Team还利用了一个Windows中的内核驱动: Adobe Font Driver(atmfd.dll)中存在的一处字体0day漏洞,实现权限提升并绕过沙盒机制。

该0day漏洞可以用于WindowsXP~Windows 8.1系统,X86和X64平台都受影响,在Hacking Team泄露的源码中我们发现了该漏洞的详细利用代码。在利用Flash漏洞获得远程代码执行权限后,Hacking Team经过复杂的内核堆操作准备后,加载一个畸形的OTF字体文件,再调用Atmfd中的相关接口触发处理字体文件过程的漏洞,最后获得任意次数的任意内核地址读写权限,接着复制Explorer.exe的token到当前进程,并清除本进程的Job来实现沙盒逃逸。

Chrome 43版本以上默认对沙盒内进程使用DisallowWin32k机制关闭了所有win32k相关调用,因此不受这个漏洞的影响。

阅读全文

留言评论