伽利略远程监控系统完全安装指南


发布人:admin分类:网络安全浏览量:51发布时间:2017-12-12

7月初,外媒用臭名昭著形容意大利的网络军火商公司hacking team及其被黑事件,黑吃黑的黑客将该公司rcs系统的安装程序、源代码和邮件打包供所有人下载,更有人在github上用hackedteam打趣存储这些资料。

hacking team被黑事件发生时,国内的安全公司和安全研究人员都抢先分析了hacking team使用的0day漏洞和源代码,但很少有人提及整套rcs系统,rcs系统的全称是Galileo Remote Control System(伽利略远程控制系统),我这里简称为rcs。rcs系统能够针对市面上Windows、OSX、Linux、Android、iOS、Blackberry、Windows Phone及Symbian等所有的终端,结合各种0day漏洞、rootkit技术和先进的渗透测试技术,进行远程攻击和持续性远程监控。

FreeBuf百科:伽利略

伽利略是历史上著名的意大利天文学家,以此命名也能看出这个公司的用心良苦,天文望眼镜级别的监控粒度。这个公司的商业化可以看一段视频感受下,这个视频是为rcs系统专门定制的广告片,帽兜男徐徐露出真面目,旁白介绍rcs系统的强大,酷炫屌炸天。

在大家都忙着分析hacking team边角料时,国外的安全公司hyperion bristol已经成功破解了rcs,还原了整套系统,我扒一些很关键的图和信息来分析下:

http://hyperionbristol.co.uk/galileo-rcs-installing-the-entire-espionage-platform/

这些选项就是泄露的源代码的各个功能组件、工具和exploit的生成界面,已经高度工程化了。

从源代码中可以分析出rcs的通信协议加密方式,每次随机生成16位密钥,与服务端协商以后的通信加密过程。

看一眼rcs的界面,最下面这一排实现的监控功能的图标,可以体现出rcs监控内容的强大。

看到这里,点到为止。rcs的安装需要安装key,可以从源代码中破解,但hyperion bristol公司等提供的rcs系统安装分析不是很完全,还有很多隐藏的坑。一位匿名大牛给我的微信公众号提供了rcs系统安装的完整资料,安装过程极其复杂,我把资料分享给大家。看下面的资料前,先声明下这份资料涉及的数据和程序是已经完全公开的互联网数据,仅用于参考研究,请大家注意遵守国家的法律法规。

安装过程

1. 440g数据中rcs系统最新9.6版本的安装文件在

\Hacking Team\FAE DiskStation\2. DELIVERY\2.3. Software (releases)\RCS 9.6 (stable)\  的目录下可以找到


2. 9.6 版本的rcs 更新了key的认证系统, github上的脚本 https://github.com/hackedteam/rcs-db/blob/master/scripts/rcs-db-license-gen.rb  生成的key是没办法使用的。网上有生成9.6版本key的脚本,核心的验证代码变成了下面这样,9.6之后的licence 验证和软件的版本号相关联了。

3.首先安装rcs系统,需要 windows 2008 r2 两台和centos一台,2008最好是英文版本的,保持windows firewall 开启的状态。

4. 在其中一台server 2008 r2 服务器安装 Master Node,执行 rcs-setup-2015032101.exe

5. 选择Master Node

6. 输入cname,也就是我们服务器的ip地址

7. 选择我们的key文件rcs.lic

8. 创建rcs 系统的 admin 密码,要求至少10个字符,至少一个数字,一个大小字母,一个小写字母,而且不能包含'admin'字符串

9. 然后就是漫长的安装过程,毕竟安装包就1G大小,使用ssd硬盘的话速度会快很多.

10. 安装完毕,打开命令行执行以下命令查看log

11. 至此Master Node的安装完成,我们在另外一个windows server2008 r2 安装 Collector 。

12. 填写master 和本机器的ip地址:

13. 填写master node 安装时候设置的密码:

14. 一路下一步就安装完毕,执行 c:\rcs\collector\bin\rcs-collector-log.bat,检查安装日志

15. Collector node 安装成功!下一步安装 rcs Console

在任意机器上安装AdobeAIR  ,也可使用 Hacking Team\FAE DiskStation\2. DELIVERY\2.4. Software (extras)\Adobe Air\AdobeAIRInstaller.exe,安装完更新到最新版本,然后双击 Hacking Team\FAE DiskStation\2. DELIVERY\2.3. Software (releases)\RCS 9.6 (stable)\Product\Console\rcs-console-2015032101.air来安装rcs-console

安装之后打开桌面的快捷方式:

16. 因为没有配置证书,直接选是继续

17. 先来一窥 rcs 系统的全貌

18. 简单看看之后,我们来添加rcs的Anonymizer 节点,首先安装一台 centos 6的节点机器,记住ip地址

19. 点击system 面板,切到Frontend ,点击 忍者衣服加号的图标

20.点击选中添加的忍者衣服图标, download installer 

21.桌面的这个目录里面会生成一份 anonymizer 的安装zip包.

22. 拷贝到centos的系统上安装

23. 然后在RCS 系统中把添加的Anonymizer 拖到Collector node上面,再点击

24. 最后一步在Master node 安装 Exploit 模块  rcs-exploits-2015032101.exe,至此RCS系统主模块就安装完毕了 ,剩下的就留给各位探索了。

本文属于我的微信公众号私有情报,现授权freebuf独家发布

*对安全情报感兴趣的同学,可以关注我的微信公众号lookvul 或 微信搜索 qz安全情报分析

* 作者:RAyH4c,FreeBuf独家发布,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21264898(PV) 页面执行时间:61.814(MS)
  • xml
  • 网站地图