欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

对 Hawkeye Keylogger - Reborn v8 恶意软件活动的深入分析

来源:本站整理 作者:佚名 时间:2018-07-13 TAG: 我要投稿

如今,大部分网络犯罪都是由地下市场助长的,在地下市场,恶意软件和网络犯罪服务是可以购买的。这些市场在深层网络商品化恶意软件运作。即使是网络犯罪新手也可以购买恶意软件工具包和恶意软件活动所需的其他服务:加密、托管、反查杀、垃圾邮件等。
Hawkeye Keylogger(也称为iSpy Keylogger/键盘记录器)是一种窃取信息的恶意软件,被作为恶意软件服务出售。多年来,Hawkeye背后的恶意软件作者改进了恶意软件服务,增加了新的功能和技术。它上一次是在2016年的一次大规模运动中被使用的。
今年标志着Hawkeye的复兴。四月,恶意软件作者开始兜售新版本的恶意软件,他们称之为Hawkeye Keylogger- Reborn v8。不久之后,在4月30日,Office 365 高级威胁防护 (ATP) 检测到了一个大规模的活动,分发了这个键盘记录器的最新变体。
一开始,Office 365封锁了电子邮件活动保护客户,其中52%的客户是软件和技术部门的。银行业(11%)、能源(8%)、化工(5%)和汽车业(5%)的公司也是最受关注的行业。

Office 365 ATP使用智能系统检查附件和恶意内容链接,以保护客户免受像Hawkeye这种活动的威胁。这些自动化系统包括一个健壮的引爆平台(detonation platform)、启发式和机器学习模型。Office 365 ATP使用来自各种智能服务,包括Windows Defender Advanced Threat Protection中的多个功能(Windows Defender ATP)。
Windows Defender AV(Windows Defender ATP的一个组成部分)检测到并阻止了至少40个国家在该运动中使用的恶意附件。阿联酋在这些遭遇中占19%,而荷兰(15%)、美国(11%)、南非(6%)和英国(5%)则是在这场活动中使用诱饵文件的前5名国家中的其他国家。Windows Defender AV (TrojanDownloader:O97M/Donoff, Trojan:Win32/Tiggre!rfn, Trojan:Win32/Bluteal!rfn, VirTool:MSIL/NetInject.A)中的通用保护和启发式保护的组合确保了这些威胁在客户环境中能被阻止。

作为我们保护客户免受恶意软件攻击的工作的一部分,Office 365 ATP研究人员监控像Hawkeye这样的恶意软件活动和网络犯罪领域的其他发展。我们对类似Hawkeye等恶意软件活动的深入调查增加了我们从Microsoft Intelligent Security Graph获得的威胁情报,这使我们能够不断提高安全性标准。通过Microsoft Intelligent Security Graph,Microsoft 365中的安全技术共享信号和检测,允许这些技术自动更新保护和检测机制,以及在整个Microsoft 365中组织修复。

 
活动概览
尽管它的名字,Hawkeye Keylogger – Reborn v8不仅仅是一个普通的键盘记录器。随着时间的推移,作者已经集成了各种模块,这些模块提供了高级功能,如隐身和检测规避,以及凭据窃取等等。
像Hawkeye这样的恶意软件服务是在深度网络上做广告和销售的,这需要匿名网络(如Tor)来访问等等。有趣的是,“Hawkeye”的作者在网站上刊登了他们的恶意软件广告,甚至在网站上发布了教程视频。更有趣的是,在地下论坛,恶意软件作者雇佣了中介经销商,这是网络犯罪地下商业模式扩展和发展的一个例子。
我们对2018年4月Hawkeye运动的调查显示,自2月份以来,网络犯罪分子就一直在为这一行动做准备,当时他们注册了他们后来在活动中使用的域名。
在典型的恶意软件运动中,网络罪犯采取了以下步骤:
使用从地下获取的恶意软件生成器构建恶意软件样本和恶意软件配置文件。
建立武器化文件,用于社会工程诱饵(可能使用在地下购买的另一种工具)
包装或混淆样本
注册恶意软件要用的域名
发起了一场垃圾邮件活动(可能使用付费的垃圾邮件服务)来分发恶意软件。
和其他恶意软件工具包一样,Hawkeye配备了一个管理面板,网络罪犯可以用来监视和控制攻击。

有趣的是,在这次Hawkeye活动中使用的一些方法与以前的攻击是一致的。这表明,这场运动背后的网络罪犯可能是负责提供远程访问工具(RAT)Remcos和窃取信息的bot恶意软件Loki的同一组人。在这些活动中采用了下面的方法:
创建复杂的多阶段交付链的多个文档。
使用bit.ly短链接重定向
使用恶意宏、vbscript和powershell脚本运行恶意软件;Remcos活动使用了cve-2017-0199的漏洞,但使用了相同的域名。
多样本一致性混淆技术
 
入口
4月底,Office 365 ATP分析人员发现,主题行RFQ-GHFD456 ADCO 5647在5月7日截止日期前发起了一场新的垃圾邮件活动,其中包含一个名为Scan Copy 001.doc的Word文档附件。虽然附件的文件扩展名是.doc,但实际上它是一个恶意的Office Open XML格式文档,它通常使用.docx文件扩展名。
这场活动总共使用了四个不同的主题和五个附件。


由于附件包含恶意代码,因此打开Microsoft Word时会发出安全警告。文档使用了一个常见的社交工程诱饵:它显示一条假消息和一条指令,用于“启用编辑”和“启用内容”。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载