我如何破解一个键盘记录,以及进入攻击者的邮箱

这一切都从一个垃圾邮件活动开始。图1显示了一个活动,我们拿起最近从我们的垃圾邮件陷阱与一个可疑的文件附件。注意到英语是多么的差;本应作为一个警告的电子邮件收件人签收。

垃圾邮件样本

图1:垃圾邮件样本

附件中使用“.doc”文件扩展名,但实际上是一个RTF(富文本文件)文件格式。该文件包含一个特制的RTF堆栈溢出漏洞。这确定是cve-2010-3333利用微软Word RTF解析器在“pfragments”形状的财产处理。此漏洞已修补超过十年前的一半。

rtfexploit

图2。混淆shellcode在特制的RTF文件

你可以看到在图2中,和shellcode的开发都是模糊的避免病毒检测。经过提取、清理和解码的漏洞,我想通了,shellcode会下载并执行一个文件从域volafile [ ] IO。

shellcode

图3。shellcode进制转储

有效载荷

malware_icon

图4。下载的可执行文件

下载的文件是微软。NET Win32可执行。一个快速的十六进制转储文件的预览提供了一个很有趣的线索,我处理一个鹰眼的建立。

hawkeyehexdump

图5。鹰眼-柱体的恶意软件

有一点谷歌赋,弦向我指出了开发该软件的网站。在网站上,他们列出了“可怕的特点”。

hawkeyefeatureslist

图6。鹰眼键盘记录功能

在我的快速动态分析,键盘记录器滴复制自身的应用程序数据(%APPDATA%directory)文件夹和使用文件名windowsupdate.exe。设置一个自动运行注册表方便的持久性在Windows系统甚至重新启动后。

addtostartupsrccode1

图7。软件的安装程序

它也滴在受感染的系统文件:

%temp% \ sysinfo.txt–掉恶意软件的可执行文件的路径

%APPDATA%directory \ pid.txt–恶意进程ID

%APPDATA%directory \ pidloc.txt–恶意软件程序可执行文件的位置

我再观察网络活动从键盘记录的过程,试图从checkip.dyndns.com获得受感染系统的外部IP地址。这是合法网站常用的恶意软件检测受感染的系统的IP地址。

checkip

图8。被感染机器的IP地址的数据包捕获

片刻之后,SMTP网络活动的观察,对被感染系统的系统信息被发送到攻击者的电子邮件地址。

emailsysteminformation_

图9。电子邮件发送程序的攻击者的电子邮件地址包含系统信息

这些信息可能包括:

CPU名称(计算机名)

本地日期和时间

安装的语言

操作系统安装

平台

操作系统版本

安装内存

NET框架安装

系统权利

默认浏览器

安装防火墙

内部IP地址

外部IP地址

恢复的电子邮件设置和密码

浏览器和FTP密码恢复

如前所述,程序的编译与微软.NET。所以我做的下一件事是反编译的可执行文件。我用了一个开源的.NET编译器调用ilspy为了完成这项任务。

ilspy

图10。鹰眼程序反编译源代码

我在反编译源代码,仔细一看,它比它的“可怕的功能列表”。我可以证实,它是合法的索赔100%。我发现以下特点在其代码如:

键盘记录。

keyloggingsrccode1

图11。键盘记录程序

一个剪贴板偷窃/记录器。

clipboardsrccode

图12。剪贴板记录例程

浏览器和邮件客户端,FTP密码偷窃者。它还试图窃取密码管理凭据和Windows键。

browserstealer

图13。

一个像USB感染例程将允许程序传播到其他Windows机器虫。

usbsrcecode

图14。USB感染常规

它也可能目标在线游戏平台Steam用户。删除配置数据和登录数据文件,以便用户将被迫重新登录。这是键盘记录程序窃取用户凭据的蒸汽的一个机会。

steamclear

图15。蒸汽删除程序

被盗信息包括桌面截图发送到攻击者的电子邮件地址或FTP服务器取决于程序的配置。

sendemail

图16。邮件发送程序

攻击者也可以配置键盘记录上传被盗信息通过HTTP隧道的PHP主机,但代码似乎是无效的。

uploadphpsourcecode

图17。

最有趣的部分,我发现在反编译后的代码是C #命名form1()构造函数。这就是软件配置存储。但安全攻击者的电子邮件和FTP凭据,使用这些数据进行base64加密算法。

form1srccode

图18。键盘记录程序配置

正如你可能知道,这些加密的数据并不总是安全的,特别是如果解密程序的反编译源代码!

decryptdata1

图19。键盘记录程序调用解密方法

下面的图片是“解密”方法,它接受两个字符串参数的encryptedbytes和密钥。密钥是硬编码的字符串hawkspysoftwares

decryptsrccode

图20。解密例程

如前所述,程序采用Rijndael算法和秘密密钥是用Unicode字符串“099u787978786”,还硬编码。

getalgorithmsrccode

图21。该软件采用Rijndael算法

出于好奇,我的代码解密部分复制,相应地修改和编译它在MS Visual Studio,当然解密成功。(对不起,我需要模糊的凭据:))

keylogconfigcompiled1

图22。解密电子邮件和FTP凭据

当然,我检查了这些电子邮件收件箱。

emailloginpage

图23。所谓的攻击者的电子邮件登录

他们似乎是电子邮件账户被入侵的系统。所以我检查电子邮件设置,感到意外和惊喜的!电子邮件发送到这个邮箱,自动到攻击者的Gmail帐户。你可以看到在下面的截图中的下载键盘记录的文件名的一致性和攻击者的Gmail用户名(seemaexport的…)。

forwardedemailaccount_o

图24。邮件路由到攻击者自己的电子邮件地址

结论

也许攻击者知道鹰眼-可以被轻易破解,并保护自己的电子邮件凭据,他们劫持了一个妥协的电子邮件帐户的最终转发电子邮件给攻击者自己的电子邮件地址的初始接收器。