你是否百分之百確信自己的設(shè)備沒有感染Hacking Team監(jiān)視惡意軟件，無論那意味著你可能是某國(guó)政府的目標(biāo)，還是某個(gè)對(duì)Hacking Team的惡意軟件重新做了手腳的網(wǎng)上卑鄙小人的受害者?當(dāng)然了，Adobe和微軟已發(fā)布了應(yīng)急補(bǔ)丁，以對(duì)付披露的Hacking Team漏洞，但是你掃描計(jì)算機(jī)，確信它沒有受到感染豈不是明智之舉?現(xiàn)在你可以檢查自己的計(jì)算機(jī)是否感染了Hacking Team的間諜軟件，因?yàn)镽ook Security公司已發(fā)布了一款免費(fèi)的檢測(cè)工具，這款名為“Milano”的工具旨在幫助個(gè)人和企業(yè)查明自己的機(jī)器是否受到了感染。

Rook Security一直在與美國(guó)聯(lián)邦調(diào)查局(FBI)印第安納波利斯網(wǎng)絡(luò)特別小組合作，對(duì)付披露的Hacking Team文件中發(fā)現(xiàn)的“惡意的、可改造成武器”的漏洞。為了減小對(duì)關(guān)鍵基礎(chǔ)設(shè)施造成的潛在影響，他們攜手起來，識(shí)別出了可改造成武器的惡意文件。另外，他們的目的還在于“為受感染的廠商、客戶、關(guān)鍵基礎(chǔ)設(shè)施、FBI、美國(guó)特勤局、國(guó)土安全部(DHS)、互聯(lián)網(wǎng)服務(wù)提供商(ISP)及其他機(jī)構(gòu)組織制作攻陷指標(biāo)(IOC)和簡(jiǎn)報(bào)”;檢查有沒有任何客戶受到了影響;并且“開發(fā)一種能力，可用于查明它們是否受到了Hacking Team文件的感染。”

Rook Security的Tom Gorup近日宣布發(fā)布Milano v1.0.1時(shí)表示，Milano的這款最新版本得到了改進(jìn)，從原先40個(gè)文件散列增加到了312個(gè)惡意或可改造成武器的文件散列。更新后的攻陷指標(biāo)(IOC)與新的Milano版本捆綁在一起。“沒必要同時(shí)下載Milano和IOC文件。我們提供了兩者，讓用戶可以結(jié)合其工具庫(kù)中的任何工具來充分利用這些信息。”

Gorup補(bǔ)充說：

到目前為止，我們將工作重心在放在一個(gè)Windows可執(zhí)行文件和諸多DLL文件上。我們已完成了分析800多個(gè)Windows、Exe和DLL文件的工作，因而查出了總共312個(gè)被標(biāo)為惡意文件或者能夠被用來支持間諜軟件的可執(zhí)行文件。

此外，我們的分析工作在繼續(xù)進(jìn)行，致力于Linux和OSX特有的文件。眼下我們已識(shí)別了Linux特有的126個(gè)文件。我們完成分析這些文件的工作后，就會(huì)發(fā)布新的IOC文件，所以到時(shí)請(qǐng)關(guān)注我們的博客，了解更多信息。

Milano的功能特性在“不遠(yuǎn)的將來”會(huì)得到加強(qiáng)，包括“自動(dòng)檢測(cè)操作系統(tǒng)、自動(dòng)更新ICO以及OpenIOC格式化文件作為輸入源。一旦發(fā)布，這些功能特性將讓Milano能夠作為腳本來運(yùn)行，能夠識(shí)別哪個(gè)操作系統(tǒng)在運(yùn)行，并尋找針對(duì)特定操作系統(tǒng)的IOC。自動(dòng)更新功能會(huì)更新IOC，每當(dāng)它運(yùn)行，就會(huì)尋找IOC的版本。這可以確保每當(dāng)執(zhí)行Milano，IOC在將來就會(huì)自動(dòng)更新。”

你可以使用Milano執(zhí)行快速掃描或深度掃描，以查找Hacking Team關(guān)聯(lián)文件。Hacking Team的統(tǒng)一可擴(kuò)展固件接口(UEFI)BIOS rootkit特別令人擔(dān)憂;它會(huì)偷偷地重新安裝，將其遠(yuǎn)程控制系統(tǒng)(RCS)代理一直安裝在目標(biāo)的系統(tǒng)上。“即便用戶格式化了硬盤，重裝了操作系統(tǒng)，甚至購(gòu)買了新硬盤，微軟Windows安裝并運(yùn)行起來后，RCS代理還是會(huì)安裝在上面。”也許Milano能發(fā)現(xiàn)這種情況，深度掃描似乎是最佳方法，盡管要花很長(zhǎng)的時(shí)間來運(yùn)行。

下載并解壓縮Milano v1.01后，你會(huì)看到一個(gè)文檔，附有Rook的Hacking Team數(shù)據(jù)分析圖，還有一個(gè)名為“RookMilano”的文件夾。打開RookMilano文件夾，可以看到：

Rook Milano解壓縮Rook Security

解壓縮Milano文件內(nèi)容后，點(diǎn)擊milano.exe應(yīng)該會(huì)運(yùn)行該程序，除非你是在64位機(jī)器上。Rook Security告訴我，該程序面向32位系統(tǒng)，但是Windows 8.1. 64位用戶可以運(yùn)行該程序，只要使用命令提示符，將目錄換成milano.exe所在的目錄即可。

Rook Security的Milano工具Rook Security

Milano打開后，你會(huì)看到公司標(biāo)識(shí);按回車鍵。你看到責(zé)任聲明的法律限制后，然后再按回車鍵。你看到軟件服務(wù)原有聲明的限制后，再按回車鍵。之后，你面臨這個(gè)選項(xiàng)：選擇“q”表示快速掃描，選擇“d”表示深度掃描;選擇一種掃描模式，然后按回車鍵。它會(huì)問你是否想使用Windows的默認(rèn)路徑;可以選擇yes或no，但是如果你不知道該選哪個(gè)，那就試一下表示yes的“y”，按回車鍵。

它在掃描每個(gè)項(xiàng)目時(shí)，你希望看到“文件干凈”。掃描完成后，需要分析的任何文件都會(huì)標(biāo)以A(表示通過VirusTotal檢測(cè)出來)、標(biāo)以B(表示通過人工分析檢測(cè)出來)、標(biāo)以C(表示來自惡意項(xiàng)目)或者標(biāo)以D(表示未確定)。結(jié)果保存成一個(gè)文本文件。如果你沒有看到標(biāo)以上述符號(hào)的任何文件，那么表明你的系統(tǒng)完全很干凈。

Rook Security的Milano深度掃描結(jié)果

Rook的Hacking Team數(shù)據(jù)分析包括一張表，所附數(shù)據(jù)來自GitHub HackingTeam軟件庫(kù);Rook將一些文件標(biāo)以“W”，這意味著它可改造成武器。

Rook Security的Hacking Team數(shù)據(jù)表

之前，免費(fèi)的監(jiān)視惡意軟件檢測(cè)工具Detekt可以發(fā)現(xiàn)FinFisher和Hacking Team編寫的遠(yuǎn)程控制系統(tǒng)工具包留下的痕跡。但是廠商們遲早會(huì)改動(dòng)間諜軟件，因而這個(gè)工具變得過時(shí)了。明智之舉就是掃描并確信你的系統(tǒng)沒有被感染，但是如果你需要試一下Milano的理由，不妨考慮國(guó)際特赦組織(Amnesty International)在Detekt發(fā)布后所說的一番話。“設(shè)想你絕不是唯一可能中招的。有人在背后窺視你，記錄下你在計(jì)算機(jī)鍵盤上輸入的每個(gè)字符，讀取和偵聽你的私密Skype會(huì)話;使用你手機(jī)的麥克風(fēng)和攝像頭來監(jiān)控你和同事，而你完全蒙在鼓里。”

如果你認(rèn)為這種事不太可能發(fā)生，那么不妨再好好想一想，因?yàn)檠芯咳藛TCollin Mulliner發(fā)現(xiàn)，Hacking Team(轉(zhuǎn)手賣給專制政府的卑鄙之徒)拿來他的開源漏洞工具后，并它們整合入到其安卓監(jiān)視軟件中，然后賣給全球各地大搞間諜活動(dòng)的政府。Mulliner說：“看到自己的開源工具被Hacking Team用來制作窺視活動(dòng)積極分子的產(chǎn)品，我很憤怒，也很難過。”Mulliner在一個(gè)例子中提到了他的安卓語音呼叫攔截工具，Hacking Team利用該工具來截獲音頻，比如被感染的安卓手機(jī)收聽所及范圍之內(nèi)的會(huì)話。

防范面向安卓和iOS移動(dòng)設(shè)備的Hacking Team惡意軟件

如果這讓你因此擔(dān)心自己的手機(jī)可能感染上了Hacking Team的監(jiān)視惡意軟件，那么Lookout發(fā)出了一封電子郵件，聲稱“其客戶(安卓平臺(tái)和iOS平臺(tái)上的客戶)都受到了保護(hù)，遠(yuǎn)離所有最新形式的Hacking Team間諜軟件產(chǎn)品。”

檢測(cè)面向OS X的Hacking Team間諜軟件

最后，F(xiàn)acebook發(fā)布了新的osquery查詢包，以檢測(cè)OS X上的Hacking Team的遠(yuǎn)程控制系統(tǒng)。“攻擊者在繼續(xù)設(shè)計(jì)和部署Mac OS X后門。我們已經(jīng)在Flashback、IceFog、Careto、Adwind/Unrecom以及最近的HackingTeam上看到了這一幕。OS X攻擊包擁有的查詢可以識(shí)別惡意軟件的已知變種，從高級(jí)持續(xù)性威脅(APT)到廣告軟件和間諜軟件，不一而足。如果該查詢包中的查詢獲得了結(jié)果，這意味著你的Mac機(jī)器中有一個(gè)主機(jī)感染了惡意軟件。該數(shù)據(jù)包的準(zhǔn)確度很高，誤報(bào)有望接近零。”