CIA Hive测试指南3354源代码获取及简要分析

0x00 前言

11月9日，维基解密公布了一份名为Vault8的文件，其中包含了服务器远程控制工具Hive的源代码和开发文档。从技术角度介绍了测试方法，并简要分析了工具的特点。

维基解密地址：

https://wikileaks.org/vault8/

0x01 简介

本文将介绍以下内容：

源代码获取方法

框架分析

工具规格

特征分析

0x02 源代码获取

下载地址：

https://wikileaks.org/vault8/document/repo_hive/

代码库中的文件创建于2013年8月至2015年10月之间，但工具蜂巢的开发时间应该更早。

维基解密以git的形式发布这段代码，它包含以下分支：

armv5

自动工具

调试

dhm

makemods

主(默认)

mt6

极坐标-0.14.3

极坐标-1.1.8

极地-1.2.11

极地-1.3.4

索拉里斯堡

泛素

下载后发现不包含相关源代码，需要使用git释放源代码。

注：

这种方法可以减少源代码的体积(下载文件大小为95.5MB，实际文件大小为170MB)。

1、安装git

默认情况下安装Kali2。卸载的Linux系统使用以下安装命令：

sudo yum安装git

Windows系统下载地址：

https://git-for-windows.github.io/

使用下图。

2、常用git命令

要查看所有分支，当前分支将标有星号：

git分支

当前分支是主分支，如下图所示

查看版本历史：

git日志

检查git状态，并能够列出已修改但尚未提交的文件：

git状态

如下图

切换分支：

git checkout -b (branchname)

因为当前操作尚未提交，所以可以恢复已删除的文件。也就是说，该命令如下：

git结帐。

成功发布主分支下的代码，如下图所示

补充切换版本的方法：

查看版本号：

git参考日志

切换到polar-1.3.4:

git检验极坐标-1.3.4

0x03 框架分析

结合框架图分析Hive。

原始图片来自\ hive \ infra structure \ documentation \ hive operating environment . ODP

为了便于分析，我在原图上做了标记，如下图。

(1) Client

相当于木马的受控端，由hive-patcher生成。

支持以下系统：

mt-x86

mt-mips

mt-mipsel

mt-ppc

linux-x86

sol-x86

sol-sparc

您可以使用以下目录的不同版本：

hive \ snapshot _ 2014 12 17-1052 \ client directory

hive \ snapshot _ 2014 11 07-1345 \客户端目录

hive \ snapshot _ 2014 10 17-1409 \客户端目录

测试配置单元\快照_ 20141107-1345 \客户端目录

用法如下：/hive-patcher-a address[-d b _ delay][-I interval](-K id key |-K id keyfile)[-I interface][-p port][-t t _ delay][-m OS]

该工具的详细描述可以在用户文档中找到，位置为\ hive \ documentation \ users guide \ users guide . ODT，2.3 (s) patcher。

示例：/hive-patcher-a 192 . 168 . 81 . 192-p 4567-I 3600-j 5-m Linux-x86-k '测试测试'

生成过程显示配置信息，如下图所示。

(2) 端口转发

Vpredirector，第一个跳板，实现流量转发的功能

请参考：

\ hive \ infra structure \ documentation \ infra structure Configuration guide . ODT，6 (S//NF) VPS重定向器

(3) 中转服务器

第二个跳板，Blot Proxy，实现流量分发功能。使用OpenVPN与VPS重定向器通信，并检查客户端的证书。如果证书有效，流量将被转发到蜂巢服务器，如果证书有问题，流量将被转发到CoverServer。

请参考：

\ hive \ infra structure \ documentation \ infra structure Configuration guide . ODT，5 (S//NF)印迹代理

需要安装Blot-4.3 Sinner Twin-Blot-beast box-1.3-1。

该功能由Switchblade实现。

Switchblade：

流量分配通过开源Web服务器Nginx和LinuxIP路由策略实现。

请参考：

\ hive \ infra structure \ documentation \ switch blade . ODT

(4) Server

控制端，分为外罩和蜂窝

CoverServer：

提供正常的网页功能，根据端口不同返回不同的域名信息。

请参考：

\ hive \ infra structure \ documentation \ infra structure Configuration guide . ODT，3 (S//NF) Cover Server

Honeycomb：

在实际控制端，缺少这部分的详细配置说明。

为用户操作提供的界面程序是残酷的。

Cutthroat：

相当于木马控制终端，发送控制命令。

您可以使用以下目录的不同版本：

hive \ snapshot _ 2014 12 17-1052 \ client directory

hive \ snapshot _ 2014 11 07-1345 \客户端目录

hive \ snapshot _ 2014 10 17-1409 \客户端目录

启动模式：/残酷的蜂巢

如果控制台回显成功，则意味着加载成功。

请参考：

\ hive \ documentation \ users guide \ users guide . ODT，3.4 (U)命令和控制客户端

使用版本快照_ 20141217-1052 \客户端目录将报告错误并返回。/hive:未定义符号：debug_print_buffer

[本地故障]无法加载配置单元[load]

如下图

更改为另一个测试版本snapshot _ 2014 107-1345/CT directory

返回

[成功]成功加载配置单元[加载]

如下图

按Tab键获取可用的命令。

通信分为两种模式：

主动连接：

ilm连接

用于主动连接服务器上的后门。

被动连接：

ilm听着

成功建立与客户端的连接后，支持以下操作：

cmd执行

文件上传

文件获取

ilm出口

放弃

立即关机

外壳打开

0x04 其他工具

1、hiveReset_v1_0.py

at \ hive \ ILM-客户端\重置计时器_ 1.0版\交付_ 2012年10月1日

用于更新木马客户端

2、Chimay-Red

未发表过的

MikroTik MIPS RouterOS 6.x的远程利用工具可以远程植入Hive。

相关描述：

https://wikileaks.org/ciav7p1/cms/page_16384604.html

3、Mealybug

未发表过的

AVTech网络录像机远程利用工具可以远程植入Hive。

0x05 综合分析

维基解密这次公布的Vault8文档不包含漏洞利用工具和相关POC。

Hive作为一款远程控制工具，支持多种操作系统，包括Windows(Server 2003)、Linux(x86/x64)、Solaris(sparc/x86)、MikroTik(MIPS/PowerPC/Intelx86)、Ubiquiti (MIPS)和AVTech NVRs(AVTech ARM)。

在隐蔽方面做了很大的努力。通过流量分配的方式隐藏实际控制服务器地址，使用伪造的卡巴斯基实验室证书进行通信。

留下回复