欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

看我如何从邮箱附件的逆向分析到揪出黑客源头

来源:参考来源trustwave 作者:地狱爬行者's Blog 时间:2016-08-08 TAG: 我要投稿

这个故事要从一次垃圾邮件攻击事件说起,下图是一个笔者从某封垃圾邮件里提取的可疑附件。至于下面这蹩脚的英语,这也是值得我们注意的地方。

上图的附件使用了“.doc”作为后缀,但它其实是RTF(富文本)格式的文件。该文件包含了一个针对性的RTF栈溢出exp,它利用了CVE-2010-3333,也就是在微软Word RTF解析器在处理pFragments时会产生的一个漏洞。然而,该漏洞在五年前就已经修补了。

正如你在上图中看到的那样,该exp和shellcode做了混淆来逃避杀软的检测。经过各种提取整理解密之后,笔者发现该shellcode会从volafile.io上面下载文件来执行。

下载下来的这个文件是微软.net Win32可执行文件,简单hex dump了这个文件,笔者发现了HawkEyekeylogger字符串。

在谷歌后发现,它指引笔者找到了开发该键盘记录器的官网。在网站里,他们列出了该键盘记录器一些的特性。

在笔者动态的分析中,该键盘记录器会把自身复制一份到Application Data(%appdata%)文件夹,并且将复制后的文件命名为WindowsUpdate.exe。同时,它在注册表里设置了开机启动,以实现其持续性攻击。

并且,它还会在受感染的系统里释放以下文件:

%Temp%\Sysinfo.txt – 释放的恶意软件exe路径

%Appdata%\pid.txt –恶意软件进程ID

%Appdata%\pidloc.txt – 恶意软件进程exe路径

接着,笔者观察到该键盘记录器试图去checkip.dyndns.com,获取受感染系统的外网IP。这个合法的网站经常被恶意软件利用,拿来确定受感染系统的IP地址。

过了一会儿,笔者监控到了SMTP流量,发现了受感染系统发送信息给黑客email的动作。

里面的信息可能包括:

计算机名

本地日期和时间

系统语言

操作系统

平台

操作系统版本

内存

.net框架

系统权限

默认浏览器

防火墙

内网IP地址

外网IP地址

恢复邮件设置和密码

恢复浏览器和FTP密码

正如前面笔者提到的,这款键盘记录器是由.net编译的。所以,笔者接下来需要反编译这个可执行文件。笔者使用了一个开源的.net反编译工具ILSpy来完成这个任务。

笔者反编译出了源代码,并将其与官网的特性列表进行比较,结果表明是完全符合的。笔者发现其代码有以下的特点:

一个剪贴板记录器

一个浏览器,FTP和邮件客户端密码记录器。它也会去尝试窃取密码管理器证书和windows密钥。

蠕虫类的USB感染程序,可以让记录器感染扩散到其他windows机器。

它也针对一些Steam游戏平台的用户,通过删除配置和登录数据文件,用户会强制再次登录。这就给了键盘记录器窃取用户Steam认证的可乘之机。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载