欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

如何逆向破解HawkEye keylogger键盘记录器,进入攻击者邮箱?

来源:本站整理 作者:佚名 时间:2016-07-06 TAG: 我要投稿

这一切要从一次恶意邮件攻击活动开始。下图为我们最近监测到的一个以恶意文件为发送附件的邮件攻击,请注意邮件信息中的英语写作水平是多么差劲,其实,这也是恶意邮件的一个特点,还请收件人提高警惕。

邮件样本
在这封邮件中其附件以“.doc”文件扩展名结尾,但其实这是一个RTF(富文本)格式文件,文件被嵌入了一个精心构造的cve-2010-3333漏洞利用脚本,漏洞产生原因为微软office文件格式转换器在处理RTF文件“pfragments”参数属性时存在栈缓冲区溢出,远程攻击者可以借助特制的RTF数据执行任意代码,该漏洞又名”RTF栈缓冲区溢出漏洞”,但微软官方已在5年前就已修复了漏洞。

被加密混淆的RTF文件
在上图中你可以看到,漏洞利用代码中的shellcode字段被模糊变形以避免杀毒软件的检测,在经过代码提取、清理和解密之后,我确定了漏洞利用代码的shellcode将会从一个未知域名volafile.io下载并执行某些文件。

shellcode 的16进制字符串
漏洞攻击负载

下载的可执行文件
经过分析,从volafile.io 下载的文件是一个.NET可执行文件,通过十六进制文件分析之后可以得到一个有趣的线索,编码中出现了“HawkEyekeylogger”字段。

Hawkeye 键盘记录的主体
通过GOOGLE搜索技巧,最终我找到了开发该Keylogger软件的网站,在网站上,他们声称并列出了所有“HawkEyekeylogger”具备的“牛X的功能”。

HawkEye Keylogger 功能列表
在我的动态分析中发现,该Keylogger在一个名为%appdata%的文件夹下释放自身副本,启动一个名为windowsupdate.exe的程序为运行进程,并设置进程启动信息为随机自启动,实现与系统同时启动。
 

    
Keylogger’的例行程序
同时,该Keylogger也在受感染的系统中释放以下文件:
%Temp%\sysinfo.txt–恶意程序的执行路径
%Appdata%\pid.txt–恶意进程ID
%Appdata%\pidloc.txt–恶意程序可执行文件的位置
之后,我想通过观察Keylogger的网络外联活动以获取其远程管理控制IP地址

受感染主机的网络包
一段时间之后,被Keylogger感染的主机就开始向攻击者邮箱发送信息了

 
被感染keylogger的主机向攻击者远程控制管理邮件发送本机相关信息 
这些信息包括:
计算机名称(或CPU信息)
本地日期和时间
系统语言
安装的操作系统
系统开发平台
操作系统版本
系统内存
开发框架
系统权限
默认浏览器
安装的防火墙
内部IP地址
外部IP地址
电子邮件密码和相关设置
浏览器设置和FTP密码
如前所述,该Keylogger软件是利用.NET框架编写的,所以接下来我用.NET 编译器ILSpy来完成这项任务。

Hawkeye keylogger 反编译代码
我把“HawkEye keylogger”开发网站上声称具备的“牛X的功能”,与反编译源代码时认真对照,可以肯定的是其功能确实很厉害。这以下就是其具备的功能:
键盘记录:

 
键盘记录程序
剪贴板操作记录:
 

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载