內容字號:默認大號超大號

段落設置:段首縮進取消段首縮進

字體設置:切換到微軟雅黑切換到宋體

如何逆向破解HawkEye keylogger鍵盤記錄器進入攻擊者郵箱

2017-06-08 17:11 出處:電腦高手網整理 人氣: 評論(0

面對惡意郵件攻擊,我們就只能默默忍受被他攻擊,連自我保護能力都沒有談什么反抗?讓人痛快的是,如今有了解決辦法,逆向破解鍵盤記錄器,進入攻擊者郵箱。

這一切要從一次惡意郵件攻擊活動開始。下圖為我們最近監測到的一個以惡意文件為發送附件的郵件攻擊,請注意郵件信息中的英語寫作水平是多么差勁,其實,這也是惡意郵件的一個特點,還請收件人提高警惕。

01.jpg

郵件樣本

在這封郵件中其附件以“.doc”文件擴展名結尾,但其實這是一個RTF(富文本)格式文件,文件被嵌入了一個精心構造的cve-2010-3333漏洞利用腳本,漏洞產生原因為微軟office文件格式轉換器在處理RTF文件“pfragments”參數屬性時存在棧緩沖區溢出,遠程攻擊者可以借助特制的RTF數據執行任意代碼,該漏洞又名”RTF棧緩沖區溢出漏洞”,但微軟官方已在5年前就已修復了漏洞。

02.jpg

被加密混淆的RTF文件

在上圖中你可以看到,漏洞利用代碼中的shellcode字段被模糊變形以避免殺毒軟件的檢測,在經過代碼提取、清理和解密之后,我確定了漏洞利用代碼的shellcode將會從一個未知域名volafile.io下載并執行某些文件。

03.jpg

shellcode 的16進制字符串

漏洞攻擊負載

04.jpg

下載的可執行文件

經過分析,從volafile.io 下載的文件是一個.NET可執行文件,通過十六進制文件分析之后可以得到一個有趣的線索,編碼中出現了“HawkEyekeylogger”字段。

05.jpg

Hawkeye 鍵盤記錄的主體

通過GOOGLE搜索技巧,最終我找到了開發該Keylogger軟件的網站,在網站上,他們聲稱并列出了所有“HawkEyekeylogger”具備的“牛X的功能”。

06.jpg

HawkEye Keylogger 功能列表

在我的動態分析中發現,該Keylogger在一個名為%appdata%的文件夾下釋放自身副本,啟動一個名為windowsupdate.exe的程序為運行進程,并設置進程啟動信息為隨機自啟動,實現與系統同時啟動。

 

07.jpg

    

Keylogger’的例行程序

同時,該Keylogger也在受感染的系統中釋放以下文件:

%Temp%\sysinfo.txt–惡意程序的執行路徑

%Appdata%\pid.txt–惡意進程ID

%Appdata%\pidloc.txt–惡意程序可執行文件的位置

之后,我想通過觀察Keylogger的網絡外聯活動以獲取其遠程管理控制IP地址

08.jpg

受感染主機的網絡包

一段時間之后,被Keylogger感染的主機就開始向攻擊者郵箱發送信息了

09.jpg  

被感染keylogger的主機向攻擊者遠程控制管理郵件發送本機相關信息  

這些信息包括:

計算機名稱(或CPU信息)

本地日期和時間

系統語言

安裝的操作系統 

系統開發平臺

操作系統版本

系統內存

開發框架

系統權限

默認瀏覽器

安裝的防火墻

內部IP地址

外部IP地址

電子郵件密碼和相關設置

瀏覽器設置和FTP密碼

如前所述,該Keylogger軟件是利用.NET框架編寫的,所以接下來我用.NET 編譯器ILSpy來完成這項任務。

10.jpg

Hawkeye keylogger 反編譯代碼

我把“HawkEye keylogger”開發網站上聲稱具備的“牛X的功能”,與反編譯源代碼時認真對照,可以肯定的是其功能確實很厲害。這以下就是其具備的功能:

鍵盤記錄:

11.jpg  

鍵盤記錄程序

剪貼板操作記錄:

 

12.jpg

剪貼板操作例行程序

竊取瀏覽器、郵件客戶端、FTP密碼,它還試圖竊取密碼管理器憑據和系統密碼:

13.jpg

還有一個將keylogger通過USB傳播感染到其它系統主機的蠕蟲程序:

   

14.jpg

 USB 感染程序

它還針對在線游戲平臺Steam用戶,通過刪除電腦上儲存的游戲配置數據和登錄信息,強制用戶再次登錄,然后利用鍵盤記錄程序竊取用戶的登錄密碼。

15.jpg

Steam游戲平臺感染程序

另外,HawkEye keylogger還通過郵件反彈和FTP方式竊取被感染系統的桌面截屏,以確定其程序是否被正確配置。

16.jpg

郵件發送程序

攻擊者也可以配置鍵盤記錄軟件,通過HTTP通道上傳被盜信息至一個PHP主機,但這部分代碼似乎是空的。

17.jpg

最有趣的是我在反編譯代碼中發現了一個名為form1()的C#構造函數,這就是HawkEye keylogger軟件的配置存儲函數,但攻擊者使用了base64對遠程控制和管理的電子郵件和FTP信息進行了加密隱藏。

18.jpg                     

keylogger配置信息

但是,這些加密的數據并不總是安全的,特別是當反編譯源代碼中就可以看出解密程序來時

19.jpg

解密函數調用

下圖就是解密函數,它包含兩個字符串參數encrypted bytes和secretkey,密鑰字符串是固定的硬編碼hawkspysoftwares

20.jpg

解密程序

同時,HawkEye keylogger使用者還使用了Unicode字符串 “099u787978786″對密碼字符串進行加鹽處理

21.jpg

keylogger 使用的加密方法

出于好奇,我復制了代碼的解密部分,并進行了相應修改,在MS VisualStudio程序下編譯,最終解密成功,包含了郵件和FTP賬戶密碼(對不起,我需要對解密信息進行模糊處理)

22.jpg

經過解密的攻擊者的遠程控制郵箱和FTP信息

當然,最終我還是好奇地登錄了攻擊者的遠程控制管理郵箱。

23.jpg

攻擊者的遠程控制管理郵箱登錄界面

在攻擊者的控制管理郵箱里,我發現了受害者被竊取的電子郵件信息,并嘗試進行了登錄,讓人驚訝的是,受害者的電子郵件系統中被設置了郵件轉發功能,受害者所有的收發郵件被自動轉發到了攻擊者的另外一個郵箱[email protected]

24.jpg

受害者郵箱系統被設置了自動轉發功能

在對此次攻擊分析之后,我們又發現了另外一個包含CVE-2012-0158漏洞利用代碼的RTF郵件攻擊。雖然這兩個漏洞都比較過時了,但仍然被廣泛用于郵件攻擊中。

相關欄目

相關文章



分享給小伙伴們:

評論

發表評論愿您的每句評論,都能給大家的生活添色彩,帶來共鳴,帶來思索,帶來快樂。

簽名: 驗證碼: 點擊我更換圖片

評論列表

    © 2002-2017 dngsw.cn 電腦高手網 版權所有

    粵ICP備13005586號-3

    26选5开奖