键盘记录者

键盘记录者
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
如何逆向破解HawkEye keylogger键盘记录器，进入攻击者邮箱？ clouds专栏作者2016-07-06金币奖励+25共330291人围观 ，发现 8 个不明物体 安全报告系统安全
这一切要从一次恶意邮件攻击活动开始。下图为我们最近监测到的一个以恶意文件为发送附件的邮件攻击，请注意邮件信息中的英语写作水平是多么差劲，其实，这也是恶意邮件的一个特点，还请收件人提高警惕。

01.png

邮件样本

在这封邮件中其附件以“.doc”文件扩展名结尾，但其实这是一个RTF（富文本）格式文件，文件被嵌入了一个精心构造的cve-2010-3333漏洞利用脚本，漏洞产生原因为微软office文件格式转换器在处理RTF文件“pfragments”参数属性时存在栈缓冲区溢出，远程攻击者可以借助特制的RTF数据执行任意代码，该漏洞又名”RTF栈缓冲区溢出漏洞”，但微软官方已在5年前就已修复了漏洞。

02.png

被加密混淆的RTF文件

在上图中你可以看到，漏洞利用代码中的shellcode字段被模糊变形以避免杀毒软件的检测，在经过代码提取、清理和解密之后，我确定了漏洞利用代码的shellcode将会从一个未知域名volafile.io下载并执行某些文件。

03.png

shellcode 的16进制字符串

漏洞攻击负载

04.png

下载的可执行文件

经过分析，从volafile.io 下载的文件是一个.NET可执行文件，通过十六进制文件分析之后可以得到一个有趣的线索，编码中出现了“HawkEyekeylogger”字段。

05.png

Hawkeye 键盘记录的主体

通过GOOGLE搜索技巧，最终我找到了开发该Keylogger软件的网站，在网站上，他们声称并列出了所有“HawkEyekeylogger”具备的“牛X的功能”。

06.png

HawkEye Keylogger 功能列表

在我的动态分析中发现，该Keylogger在一个名为%appdata%的文件夹下释放自身副本，启动一个名为windowsupdate.exe的程序为运行进程，并设置进程启动信息为随机自启动，实现与系统同时启动。

07.png

Keylogger’的例行程序

同时，该Keylogger也在受感染的系统中释放以下文件：

%Temp%\sysinfo.txt–恶意程序的执行路径

%Appdata%\pid.txt–恶意进程ID

%Appdata%\pidloc.txt–恶意程序可执行文件的位置

之后，我想通过观察Keylogger的网络外联活动以获取其远程管理控制IP地址

08.png

受感染主机的网络包

一段时间之后，被Keylogger感染的主机就开始向攻击者邮箱发送信息了

09.png

被感染keylogger的主机向攻击者远程控制管理邮件发送本机相关信息

这些信息包括：

计算机名称（或CPU信息）

本地日期和时间

系统语言

安装的操作系统

系统开发平台

操作系统版本

系统内存

开发框架

系统权限

默认浏览器

安装的防火墙

内部IP地址

外部IP地址

电子邮件密码和相关设置

浏览器设置和FTP密码

如前所述，该Keylogger软件是利用.NET框架编写的，所以接下来我用.NET 编译器ILSpy来完成这项任务。

10.png

Hawkeye keylogger 反编译代码

我把“HawkEye keylogger”开发网站上声称具备的“牛X的功能”，与反编译源代码时认真对照，可以肯定的是其功能确实很厉害。这以下就是其具备的功能：

键盘记录：

11.png

键盘记录程序

剪贴板操作记录：

12.png

剪贴板操作例行程序

窃取浏览器、邮件客户端、FTP密码，它还试图窃取密码管理器凭据和系统密码：

13.png

还有一个将keylogger通过USB传播感染到其它系统主机的蠕虫程序：

14.png

USB 感染程序

它还针对在线游戏平台Steam用户，通过删除电脑上储存的游戏配置数据和登录信息，强制用户再次登录，然后利用键盘记录程序窃取用户的登录密码。

15.png

Steam游戏平台感染程序

另外，HawkEye keylogger还通过邮件反弹和FTP方式窃取被感染系统的桌面截屏，以确定其程序是否被正确配置。

16.png

邮件发送程序

攻击者也可以配置键盘记录软件，通过HTTP通道上传被盗信息至一个PHP主机，但这部分代码似乎是空的。

17.png

最有趣的是我在反编译代码中发现了一个名为form1()的C#构造函数，这就是HawkEye keylogger软件的配置存储函数，但攻击者使用了base64对远程控制和管理的电子邮件和FTP信息进行了加密隐藏。

18.png

keylogger配置信息

但是，这些加密的数据并不总是安全的，特别是当反编译源代码中就可以看出解密程序来时

19.png

解密函数调用

下图就是解密函数，它包含两个字符串参数encrypted bytes和secretkey,密钥字符串是固定的硬编码hawkspysoftwares

20.png

解密程序

同时，HawkEye keylogger使用者还使用了Unicode字符串 “099u787978786″对密码字符串进行加盐处理

21.png

keylogger 使用的加密方法

出于好奇，我复制了代码的解密部分，并进行了相应修改，在MS VisualStudio程序下编译，最终解密成功，包含了邮件和FTP账户密码（对不起，我需要对解密信息进行模糊处理）

22.png

经过解密的攻击者的远程控制邮箱和FTP信息

当然，最终我还是好奇地登录了攻击者的远程控制管理邮箱。

23.png

攻击者的远程控制管理邮箱登录界面

在攻击者的控制管理邮箱里，我发现了受害者被窃取的电子邮件信息，并尝试进行了登录，让人惊讶的是，受害者的电子邮件系统中被设置了邮件转发功能，受害者所有的收发邮件被自动转发到了攻击者的另外一个邮箱seemaexport3@gmail.com。

24.png

受害者邮箱系统被设置了自动转发功能

在对此次攻击分析之后，我们又发现了另外一个包含CVE-2012-0158漏洞利用代码的RTF邮件攻击。虽然这两个漏洞都比较过时了，但仍然被广泛用于邮件攻击中。

(后记：在2015年被发现的“海德薇”（Hedwig）APT网络攻击中，HawkEyekeylogger被用作窃密木马)

*原文地址：trustwave，clouds编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

clouds
clouds
296 篇文章
等级： 9级
||
上一篇：TaintDroid深入剖析之启动篇下一篇：揭秘基于注册表隐藏的无文件攻击
这些评论亮了

microzone (1级)technology can change the worl...回复
分析的很到位，细致。
)6(亮了

北京大屌 回复
很精彩
)6(亮了

周鸿祎 回复
又学到一招 隐藏邮件的方法
)6(亮了
发表评论已有 8 条评论

microzone (1级) technology can change the worl... 2016-07-06回复 1楼
分析的很到位，细致。

亮了(6)

北京大屌 2016-07-06回复 2楼
很精彩

亮了(6)

cwg2552298 (6级) Follow my own course 2016-07-06回复 3楼
phishing始终流行

亮了(5)

周鸿祎 2016-07-06回复 4楼
又学到一招 隐藏邮件的方法

亮了(6)

1441916133 (3级) 2016-07-06回复 5楼
keylogger 我记得原来是老美做的吧~变种后还是很可怕。感觉现在的很多电脑的漏洞并没有在意去打好补丁，才给恶意软件可乘之机。因为，我刚装过系统不怎么在意，不知道为什么怎么弄的，我再去看电脑的时候，电脑被锁机了。勒索锁机软件……

亮了(5)

我是菜鸟 2016-07-06回复 6楼
我在意的是 键盘记录的方式够不够新颖。

拿QQ来说 如果不启用驱动 是很难直接对其输入进行HOOK吧？

早些年的驱动 zlog?貌似是。效果就很不错。可惜64位上只能加载具备数字证书的驱动。

有兴趣的可以参考这里：http://sadboy.org/forum.php?mod=viewthread&tid=325&highlight=qq

文中提到的 其实就是上面说的那个

亮了(5)

墨迹 (1级) 2016-07-07回复 7楼
精彩

亮了(5)

D01phin (1级) 这家伙很懒，只留下一只海豚，哈哈！ 2016-07-07回复 8楼
分析得很精彩，希望后续多分享此类文章！

亮了(5)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
clouds
clouds专栏作者

I am a robot ,do not talk to me ,code to me.

296
文章数
38
评论数
最近文章
挖洞经验 | HackerOne的双因素认证和上报者黑名单绕过漏洞（$10,000）
2018.11.20

挖洞经验 | HackerOne安全团队内部处理附件导出漏洞（$12,500）
2018.11.19

市面上多种流行的固态硬盘产品存在硬盘加密机制绕过漏洞
2018.11.11

浏览更多
相关阅读
RAT终结者在APT中的演变复杂化如何写一个CTF比赛中的CrackMe？一种确保Java程序安全的简单方式特斯拉自动驾驶事故复现分析金玉其外败絮其中：百度杀毒“雪狼引擎”逆向分析
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank