[Ciotoflow] rcs di hacking team (analisi e sample)

Poista viesti

Vastaa
Lähettäjä: ono-sendai
Päiväys:  
Vastaanottaja: Flussi di ciotia.
Aihe: [Ciotoflow] rcs di hacking team (analisi e sample)
Mi scuso per il crossposting(ma con sintesi :P ) per chi e' iscritto ad
hackmeeting

Qui [0] un'interessante analisi dell rcs dell'HackingTeam . C'e' parecchia
roba interessante. Anche se in se il programma non e' particolarmente
complesso (e non fa nulla per ostacolare la sua analisi),c'e' da dire che la
cosa piu' preoccupante (imho) e' l'utilizzo di vari 0day (forse comprati da
Vupen,forse no),contro i quali non c'e' poi tanto da fare. Comunque visto che
loro spacciano i loro "prodotti" per sistemi usati dai vari "buoni" per
arrestare i "cattivi" e' interessante notare questo passaggio:

"Just to be perfectly clear, RCS does not have any mechanism that allows it to
accurately copy a file system?s contents or copy the contents from RAM. That
means that executing random code in the system (updates and driver
installations) will not make it definitively clear whether or not any illegal
content on a suspect?s computer was downloaded there by the suspect himself,
or by the RCS operator. I do not believe that this program can be used to
collect information which could be used as evidence of committing unlawful
actions"

Per chi volesse metterci le mani dentro qui [1] c'e' un sample di crisis (sia
la versione per mac che per windows). Crisis altro non e' che uno dei tanti
nomi che le varie compagnie di AV hanno dato all RCS dell'hacking team!

La password per aprire l'archivio e': infected666r

Il codice e' molto vasto viste tutte le funzioni del malware...per chi volesse
giocarci in compagnia ci si vede al ciotoflow (pero' domani non ci sono :( )


[0]www.securelist.com/en/analysis/204792290/Spyware_HackingTeam

[1]http://contagiodump.blogspot.it/2012/12/aug-2012-w32crisis-and-osxcrisis-jar.html