面对恶意邮件攻击,我们就只能默默忍受被他攻击,连自我保护能力都没有谈什么反抗?让人痛快的是,如今有了解决办法,逆向破解键盘记录器,进入攻击者邮箱。
这一切要从一次恶意邮件攻击活动开始。下图为我们最近监测到的一个以恶意文件为发送附件的邮件攻击,请注意邮件信息中的英语写作水平是多么差劲,其实,这也是恶意邮件的一个特点,还请收件人提高警惕。
邮件样本
在这封邮件中其附件以“.doc”文件扩展名结尾,但其实这是一个RTF(富文本)格式文件,文件被嵌入了一个精心构造的cve-2010-3333漏洞利用脚本,漏洞产生原因为微软office文件格式转换器在处理RTF文件“pfragments”参数属性时存在栈缓冲区溢出,远程攻击者可以借助特制的RTF数据执行任意代码,该漏洞又名”RTF栈缓冲区溢出漏洞”,但微软官方已在5年前就已修复了漏洞。
被加密混淆的RTF文件
在上图中你可以看到,漏洞利用代码中的shellcode字段被模糊变形以避免杀毒软件的检测,在经过代码提取、清理和解密之后,我确定了漏洞利用代码的shellcode将会从一个未知域名volafile.io下载并执行某些文件。
shellcode 的16进制字符串
漏洞攻击负载
下载的可执行文件
经过分析,从volafile.io 下载的文件是一个.NET可执行文件,通过十六进制文件分析之后可以得到一个有趣的线索,编码中出现了“HawkEyekeylogger”字段。
Hawkeye 键盘记录的主体
通过GOOGLE搜索技巧,最终我找到了开发该Keylogger软件的网站,在网站上,他们声称并列出了所有“HawkEyekeylogger”具备的“牛X的功能”。
HawkEye Keylogger 功能列表
在我的动态分析中发现,该Keylogger在一个名为%appdata%的文件夹下释放自身副本,启动一个名为windowsupdate.exe的程序为运行进程,并设置进程启动信息为随机自启动,实现与系统同时启动。
Keylogger’的例行程序
同时,该Keylogger也在受感染的系统中释放以下文件:
%Temp%\sysinfo.txt–恶意程序的执行路径
%Appdata%\pid.txt–恶意进程ID
%Appdata%\pidloc.txt–恶意程序可执行文件的位置
之后,我想通过观察Keylogger的网络外联活动以获取其远程管理控制IP地址
受感染主机的网络包
一段时间之后,被Keylogger感染的主机就开始向攻击者邮箱发送信息了
被感染keylogger的主机向攻击者远程控制管理邮件发送本机相关信息
这些信息包括:
计算机名称(或CPU信息)
本地日期和时间
系统语言
安装的操作系统
系统开发平台
操作系统版本
系统内存
开发框架
系统权限
默认浏览器
安装的防火墙
内部IP地址
外部IP地址
电子邮件密码和相关设置
浏览器设置和FTP密码
如前所述,该Keylogger软件是利用.NET框架编写的,所以接下来我用.NET 编译器ILSpy来完成这项任务。
Hawkeye keylogger 反编译代码
我把“HawkEye keylogger”开发网站上声称具备的“牛X的功能”,与反编译源代码时认真对照,可以肯定的是其功能确实很厉害。这以下就是其具备的功能:
键盘记录:
键盘记录程序
剪贴板操作记录:
剪贴板操作例行程序
窃取浏览器、邮件客户端、FTP密码,它还试图窃取密码管理器凭据和系统密码:
还有一个将keylogger通过USB传播感染到其它系统主机的蠕虫程序:
USB 感染程序
它还针对在线游戏平台Steam用户,通过删除电脑上储存的游戏配置数据和登录信息,强制用户再次登录,然后利用键盘记录程序窃取用户的登录密码。
Steam游戏平台感染程序
另外,HawkEye keylogger还通过邮件反弹和FTP方式窃取被感染系统的桌面截屏,以确定其程序是否被正确配置。
邮件发送程序
攻击者也可以配置键盘记录软件,通过HTTP通道上传被盗信息至一个PHP主机,但这部分代码似乎是空的。
最有趣的是我在反编译代码中发现了一个名为form1()的C#构造函数,这就是HawkEye keylogger软件的配置存储函数,但攻击者使用了base64对远程控制和管理的电子邮件和FTP信息进行了加密隐藏。
keylogger配置信息
但是,这些加密的数据并不总是安全的,特别是当反编译源代码中就可以看出解密程序来时
解密函数调用
下图就是解密函数,它包含两个字符串参数encrypted bytes和secretkey,密钥字符串是固定的硬编码hawkspysoftwares
解密程序
同时,HawkEye keylogger使用者还使用了Unicode字符串 “099u787978786″对密码字符串进行加盐处理
keylogger 使用的加密方法
出于好奇,我复制了代码的解密部分,并进行了相应修改,在MS VisualStudio程序下编译,最终解密成功,包含了邮件和FTP账户密码(对不起,我需要对解密信息进行模糊处理)
经过解密的攻击者的远程控制邮箱和FTP信息
当然,最终我还是好奇地登录了攻击者的远程控制管理邮箱。
攻击者的远程控制管理邮箱登录界面
在攻击者的控制管理邮箱里,我发现了受害者被窃取的电子邮件信息,并尝试进行了登录,让人惊讶的是,受害者的电子邮件系统中被设置了邮件转发功能,受害者所有的收发邮件被自动转发到了攻击者的另外一个邮箱seemaexport3@gmail.com。
受害者邮箱系统被设置了自动转发功能
在对此次攻击分析之后,我们又发现了另外一个包含CVE-2012-0158漏洞利用代码的RTF邮件攻击。虽然这两个漏洞都比较过时了,但仍然被广泛用于邮件攻击中。
相关教程
-
请问你是黑客的菜吗?有效防范黑客入侵的绝招
在大多数人看来,这也许只是网络世界中一群拥有高超电脑技术的专业人士代名词;或者,很多人印象中的黑客,就如同电影《黑客帝国》中展现的那样出神入化。Palo AltoNetworks日前发布了一项由其赞助的调查结果,这份调查揭露了神秘黑客的收入、攻击花费的时间,通过了解黑…
5/9/2018 10:54:44 PM -
你的账号密码是怎样丢失的?暴力破解攻击的检测和防御
之前我们讲过关于“黑客1小时内破解16位密码”这样可怕的事情,里面提及了很多安全专家反复提醒用户设置账户和密码时要尽可能多样化,以防被破解。要知道,在这个大数据称霸天下的时代,网络安全意味着什么,意味着一切。众所周知,iCloud艳照门其实并…
5/9/2018 10:54:43 PM -
黑客都很厉害吗 厉害的只是一小部分
国家正在修正关于黑客方面的法律法规,有一条震惊黑客圈的“世纪佳缘”起诉白帽黑客事件,深深的伤害了广大黑客们的心,加上扎克伯格和特拉维斯·卡兰尼克账号被盗,于是黑客话题又开始变得火热,黑客真的如你所想神秘又强大?真正技术高超的…
5/9/2018 10:54:33 PM -
iPhone和Mac也会被黑 一条iMessage密码可能就被盗了
一直以来苹果系统的安全性都是比安卓要高的,但是再安全的系统也免不了漏洞,苹果也一样。最近爆出的新漏洞,这次出现在苹果设备上、编号为CVE-2016-4631的高危漏洞(针对不同操作系统的编号会有差异,这里4631针对的是iOS),要利用起来真是相当容易,因为的确是只要给受…
5/9/2018 10:54:28 PM
共有条评论 网友评论