伽利略远程监控系统完全安装指南[转]

伽利略远程监控系统完全安装指南

2015-09-15 黑客与极客

7月初,外媒用臭名昭著形容意大利的网络军火商公司hacking team及其被黑事件,黑吃黑的黑客将该公司rcs系统的安装程序、源代码和邮件打包供所有人下载,更有人在github上用hackedteam打趣存储这些资料。

hacking team被黑事件发生时,国内的安全公司和安全研究人员都抢先分析了hacking team使用的0day漏洞和源代码,但很少有人提及整套rcs系统,rcs系统的全称是Galileo Remote Control System(伽利略远程控制系统),我这里简称为rcs。

rcs系统能够针对市面上Windows、OSX、Linux、Android、iOS、Blackberry、Windows Phone及Symbian等所有的终端,结合各种0day漏洞、rootkit技术和先进的渗透测试技术,进行远程攻击和持续性远程监控。

FreeBuf百科:伽利略

伽利略是历史上著名的意大利天文学家,以此命名也能看出这个公司的用心良苦,天文望眼镜级别的监控粒度。这个公司的商业化可以看一段视频感受下,这个视频是为rcs系统专门定制的广告片,帽兜男徐徐露出真面目,旁白介绍rcs系统的强大,酷炫屌炸天。

-http://hyperionbristol.co.uk/galileo-rcs-installing-the-entire-espionage-platform/

 

在大家都忙着分析hacking team边角料时,国外的安全公司hyperion bristol已经成功破解了rcs,还原了整套系统,我扒一些很关键的图和信息来分析下:

这些选项就是泄露的源代码的各个功能组件、工具和exploit的生成界面,已经高度工程化了。

0

从源代码中可以分析出rcs的通信协议加密方式,每次随机生成16位密钥,与服务端协商以后的通信加密过程。

0

看一眼rcs的界面,最下面这一排实现的监控功能的图标,可以体现出rcs监控内容的强大。

 

看到这里,点到为止。rcs的安装需要安装key,可以从源代码中破解,但hyperion bristol公司等提供的rcs系统安装分析不是很完全,还有很多隐藏的坑。

一位匿名大牛给我的微信公众号提供了rcs系统安装的完整资料,安装过程极其复杂,我把资料分享给大家。看下面的资料前,先声明下这份资料涉及的数据和程序是已经完全公开的互联网数据,仅用于参考研究,请大家注意遵守国家的法律法规。

安装过程

1. 440g数据中rcs系统最新9.6版本的安装文件在

\Hacking Team\FAE DiskStation\2. DELIVERY\2.3. Software (releases)\RCS 9.6 (stable)\ 的目录下可以找到

0

2. 9.6 版本的rcs 更新了key的认证系统, github上的脚本https://github.com/hackedteam/rcs-db/blob/master/scripts/rcs-db-license-gen.rb 生成的key是没办法使用的。网上有生成9.6版本key的脚本,核心的验证代码变成了下面这样,9.6之后的licence 验证和软件的版本号相关联了。

0

3.首先安装rcs系统,需要 windows 2008 r2 两台和centos一台,2008最好是英文版本的,保持windows firewall 开启的状态。

0

0

4. 在其中一台server 2008 r2 服务器安装 Master Node,执行 rcs-setup-2015032101.exe

0

5. 选择Master Node

0

6. 输入cname,也就是我们服务器的ip地址

0

7. 选择我们的key文件rcs.lic

0

8. 创建rcs 系统的 admin 密码,要求至少10个字符,至少一个数字,一个大小字母,一个小写字母,而且不能包含’admin’字符串

0

9. 然后就是漫长的安装过程,毕竟安装包就1G大小,使用ssd硬盘的话速度会快很多.

0

10. 安装完毕,打开命令行执行以下命令查看log

0

11. 至此Master Node的安装完成,我们在另外一个windows server2008 r2 安装 Collector 。

0

12. 填写master 和本机器的ip地址:

0

13. 填写master node 安装时候设置的密码:

0

14. 一路下一步就安装完毕,执行 c:\rcs\collector\bin\rcs-collector-log.bat,检查安装日志

0

15. Collector node 安装成功!下一步安装 rcs Console

在任意机器上安装AdobeAIR ,也可使用 Hacking Team\FAE DiskStation\2. DELIVERY\2.4. Software (extras)\Adobe Air\AdobeAIRInstaller.exe,安装完更新到最新版本,然后双击Hacking Team\FAE DiskStation\2. DELIVERY\2.3. Software (releases)\RCS 9.6 (stable)\Product\Console\rcs-console-2015032101.air来安装rcs-console

安装之后打开桌面的快捷方式:

0

0

16. 因为没有配置证书,直接选是继续

0

17. 先来一窥 rcs 系统的全貌

0

0

0

0

18. 简单看看之后,我们来添加rcs的Anonymizer 节点,首先安装一台 centos 6的节点机器,记住ip地址

0

19. 点击system 面板,切到Frontend ,点击 忍者衣服加号的图标

0

20.点击选中添加的忍者衣服图标, download installer

0

21.桌面的这个目录里面会生成一份 anonymizer 的安装zip包.

0

22. 拷贝到centos的系统上安装

0

23. 然后在RCS 系统中把添加的Anonymizer 拖到Collector node上面,再点击

0

24. 最后一步在Master node 安装 Exploit 模块 rcs-exploits-2015032101.exe,至此RCS系统主模块就安装完毕了 ,剩下的就留给各位探索了。

0

0

0

* 作者:RAyH4c,来源:qz安全情报分析(独家授权)

关于xmsg

技术面前人人平等.同时技术也不分高低贵贱.正所谓学无大小,达者为尊.
此条目发表在Safety, Skill分类目录,贴了, , 标签。将固定链接加入收藏夹。