你是否百分之百確信自己的設備沒有感染Hacking Team監視惡意軟件，無論那意味著你可能是某國政府的目標，還是某個對Hacking Team的惡意軟件重新做了手腳的網上卑鄙小人的受害者?當然了，Adobe和微軟已發布了應急補丁，以對付披露的Hacking Team漏洞，但是你掃描計算機，確信它沒有受到感染豈不是明智之舉?現在你可以檢查自己的計算機是否感染了Hacking Team的間諜軟件，因為Rook Security公司已發布了一款免費的檢測工具，這款名為“Milano”的工具旨在幫助個人和企業查明自己的機器是否受到了感染。

Rook Security一直在與美國聯邦調查局(FBI)印第安納波利斯網絡特別小組合作，對付披露的Hacking Team文件中發現的“惡意的、可改造成武器”的漏洞。為了減小對關鍵基礎設施造成的潛在影響，他們攜手起來，識別出了可改造成武器的惡意文件。另外，他們的目的還在于“為受感染的廠商、客戶、關鍵基礎設施、FBI、美國特勤局、國土安全部(DHS)、互聯網服務提供商(ISP)及其他機構組織制作攻陷指標(IOC)和簡報”;檢查有沒有任何客戶受到了影響;并且“開發一種能力，可用于查明它們是否受到了Hacking Team文件的感染。”

Rook Security的Tom Gorup近日宣布發布Milano v1.0.1時表示，Milano的這款最新版本得到了改進，從原先40個文件散列增加到了312個惡意或可改造成武器的文件散列。更新后的攻陷指標(IOC)與新的Milano版本捆綁在一起。“沒必要同時下載Milano和IOC文件。我們提供了兩者，讓用戶可以結合其工具庫中的任何工具來充分利用這些信息。”

Gorup補充說：

到目前為止，我們將工作重心在放在一個Windows可執行文件和諸多DLL文件上。我們已完成了分析800多個Windows、Exe和DLL文件的工作，因而查出了總共312個被標為惡意文件或者能夠被用來支持間諜軟件的可執行文件。

此外，我們的分析工作在繼續進行，致力于Linux和OSX特有的文件。眼下我們已識別了Linux特有的126個文件。我們完成分析這些文件的工作后，就會發布新的IOC文件，所以到時請關注我們的博客，了解更多信息。

Milano的功能特性在“不遠的將來”會得到加強，包括“自動檢測操作系統、自動更新ICO以及OpenIOC格式化文件作為輸入源。一旦發布，這些功能特性將讓Milano能夠作為腳本來運行，能夠識別哪個操作系統在運行，并尋找針對特定操作系統的IOC。自動更新功能會更新IOC，每當它運行，就會尋找IOC的版本。這可以確保每當執行Milano，IOC在將來就會自動更新。”

你可以使用Milano執行快速掃描或深度掃描，以查找Hacking Team關聯文件。Hacking Team的統一可擴展固件接口(UEFI)BIOS rootkit特別令人擔憂;它會偷偷地重新安裝，將其遠程控制系統(RCS)代理一直安裝在目標的系統上。“即便用戶格式化了硬盤，重裝了操作系統，甚至購買了新硬盤，微軟Windows安裝并運行起來后，RCS代理還是會安裝在上面。”也許Milano能發現這種情況，深度掃描似乎是最佳方法，盡管要花很長的時間來運行。

下載并解壓縮Milano v1.01后，你會看到一個文檔，附有Rook的Hacking Team數據分析圖，還有一個名為“RookMilano”的文件夾。打開RookMilano文件夾，可以看到：

Rook Milano解壓縮Rook Security

解壓縮Milano文件內容后，點擊milano.exe應該會運行該程序，除非你是在64位機器上。Rook Security告訴我，該程序面向32位系統，但是Windows 8.1. 64位用戶可以運行該程序，只要使用命令提示符，將目錄換成milano.exe所在的目錄即可。

Rook Security的Milano工具Rook Security

Milano打開后，你會看到公司標識;按回車鍵。你看到責任聲明的法律限制后，然后再按回車鍵。你看到軟件服務原有聲明的限制后，再按回車鍵。之后，你面臨這個選項：選擇“q”表示快速掃描，選擇“d”表示深度掃描;選擇一種掃描模式，然后按回車鍵。它會問你是否想使用Windows的默認路徑;可以選擇yes或no，但是如果你不知道該選哪個，那就試一下表示yes的“y”，按回車鍵。

它在掃描每個項目時，你希望看到“文件干凈”。掃描完成后，需要分析的任何文件都會標以A(表示通過VirusTotal檢測出來)、標以B(表示通過人工分析檢測出來)、標以C(表示來自惡意項目)或者標以D(表示未確定)。結果保存成一個文本文件。如果你沒有看到標以上述符號的任何文件，那么表明你的系統完全很干凈。

Rook Security的Milano深度掃描結果

Rook的Hacking Team數據分析包括一張表，所附數據來自GitHub HackingTeam軟件庫;Rook將一些文件標以“W”，這意味著它可改造成武器。

Rook Security的Hacking Team數據表

之前，免費的監視惡意軟件檢測工具Detekt可以發現FinFisher和Hacking Team編寫的遠程控制系統工具包留下的痕跡。但是廠商們遲早會改動間諜軟件，因而這個工具變得過時了。明智之舉就是掃描并確信你的系統沒有被感染，但是如果你需要試一下Milano的理由，不妨考慮國際特赦組織(Amnesty International)在Detekt發布后所說的一番話。“設想你絕不是唯一可能中招的。有人在背后窺視你，記錄下你在計算機鍵盤上輸入的每個字符，讀取和偵聽你的私密Skype會話;使用你手機的麥克風和攝像頭來監控你和同事，而你完全蒙在鼓里。”

如果你認為這種事不太可能發生，那么不妨再好好想一想，因為研究人員Collin Mulliner發現，Hacking Team(轉手賣給專制政府的卑鄙之徒)拿來他的開源漏洞工具后，并它們整合入到其安卓監視軟件中，然后賣給全球各地大搞間諜活動的政府。Mulliner說：“看到自己的開源工具被Hacking Team用來制作窺視活動積極分子的產品，我很憤怒，也很難過。”Mulliner在一個例子中提到了他的安卓語音呼叫攔截工具，Hacking Team利用該工具來截獲音頻，比如被感染的安卓手機收聽所及范圍之內的會話。

防范面向安卓和iOS移動設備的Hacking Team惡意軟件

如果這讓你因此擔心自己的手機可能感染上了Hacking Team的監視惡意軟件，那么Lookout發出了一封電子郵件，聲稱“其客戶(安卓平臺和iOS平臺上的客戶)都受到了保護，遠離所有最新形式的Hacking Team間諜軟件產品。”

檢測面向OS X的Hacking Team間諜軟件

最后，Facebook發布了新的osquery查詢包，以檢測OS X上的Hacking Team的遠程控制系統。“攻擊者在繼續設計和部署Mac OS X后門。我們已經在Flashback、IceFog、Careto、Adwind/Unrecom以及最近的HackingTeam上看到了這一幕。OS X攻擊包擁有的查詢可以識別惡意軟件的已知變種，從高級持續性威脅(APT)到廣告軟件和間諜軟件，不一而足。如果該查詢包中的查詢獲得了結果，這意味著你的Mac機器中有一個主機感染了惡意軟件。該數據包的準確度很高，誤報有望接近零。”