freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

    账单明细PPT暗藏玄机:HawkEye Keylogger木马分析
    2017-12-21 12:18:45

    0x1 概况

    继前两周活跃的“商贸信”病毒之后,腾讯安全御见情报中心再次捕获一款针对外贸行业从业者的木马:HawkEye Keylogger。与上次相比,这次木马不再利用office漏洞CVE-2017-11882,而是利用PowerPoint“动作”特性进行攻击。一旦用户不慎点击下图ppt“启用”按钮,一款带有键盘记录器并能盗取邮箱、浏览器、比特币等帐号密码的木马就会下载到用户电脑上并运行起来。

    1.png

    (图1:打开ppt文件若出现以上画面,切勿点击“启用”)

    通过样本编译时间以及木马服务器上的文件修改时间可以看出,该木马从2017年8月初开始活动,并且目前攻击活动仍在继续,据统计国内每天有数千个用户受到该攻击影响。

    0x2 传播方式

    攻击者利用鱼叉式钓鱼邮件将带有恶意代码的ppsx文件发送到从网络等渠道收集来的邮箱地址。从邮件内容来看,主题和内文与“商贸信”钓鱼邮件相似,都带有“账单”、“订单”等诱导性字眼。

    2.png

    (图2:恶意邮件内容)

    当用户双击或右键->打开方式->Microsoft PowerPoint打开此ppsx文件,该ppt会全屏显示,并弹出“Microsoft PowerPoint安全声明”窗口,从而诱导用户点击“启用”按钮,达到运行木马目的。

    通过对收件人邮箱进行聚类分析,可以看到收件人主要从事外贸等相关行业。很多公司会将邮箱作为联系方式公布在网上,这也给不法分子提供了可乘之机。通过网上搜索,可以看到目前仍然有不少收件人邮箱暴露在公司网站的联系人栏目中。

    3.png

    (图3:暴露在联系人栏目中的邮箱)

    0x3 技术分析

    4.png 

    (图4:木马运行流程图)

    1. 嵌入ppt中的恶意脚本

    打开Microsoft PowerPoint程序,再通过“文件->打开”(注意不要点击“播放”打开ppt,提取出其中的动作,可发现一段带下载和运行功能的powershell脚本。

    5.png

    (图5:提取“动作”中的脚本)

    6.png

    (图6:恶意脚本)

    2. 下载下来的payment111.exe行为分析

    经分析发现木马名称为“HawkEye Keylogger”,早在2016年就已出现,并且网上也有不少此木马信息。木马启动后会对关键变量赋上加密的值,后续再解密使用。加密的字段有收信邮箱账号密码信息、收信邮箱服务器信息、收信ftp服务器及账号密码等。

    7.png

    (图7:加密的配置项)

    木马还会将当前进程pid及路径分别写入%appdata%\pid.txt和%appdata%\pidloc.txt文件里

    8.png

    (图8:写pid和路径到指定文件)

    之后会解密收信服务器相关信息,解密后的emailstring为obinna@uwaoma.info,passstring为"imostatenigeria"、smtpstring为"mail.uwaoma.info"、ftphost的值为默认值"ftp.yourhost.com"、ftpuser为默认值"YourUsername"、ftppass为默认值"YourPassword"、phplink的值为"http://www.site.com/logs.php"

    9.png

    (图9:解密配置项)

    通过访问http://whatismyipaddress.com/获取出口ip

    10.png

    (图10:获取出口ip)

    获取杀软及防火墙信息。

    11.png

    (图11:获取杀软信息)

    最后开启相关的功能线程,会根据配置决定是将收集的信息发送给ftp服务器、php服务器还是email服务器。本木马配置的是将盗取的信息发送给邮箱服务器。

    12.png

    (图12:开启功能线程)

    ServerInstall线程的作用是发送上线信息。

    13.png

    (图13:ServerInstall线程)

    StartStealers线程的作用是盗取邮箱、浏览、比特币相关的密码。

    14.png

    (图14:StartStealers线程)

    Minecraftsub线程的作用盗取“我的世界”游戏密码。

    15.png

    (图15:Minecraftsub线程)

    Pins线程的作用盗取RuneScape 游戏的Bank Pins(个人安全凭证)。

    16.png

    (图16:Pins线程)

    Disabler线程的作用是禁用任务管理器、禁用命令行、禁用msconfig、禁用注册表等。

    17.png

    (图17:Disabler线程)

    根据“Disablelogger”选项决定是否开启键盘记录器。

    18.png

    (图18:是否开启键盘记录器)

    19.png

    (图19:设置低级键盘钩子的方式来记录按键)

    SendLogsFTP线程、SendLogsPHP线程、SendLogs线程的作用是将记录的剪贴板信息、按键记录信息、截屏信息分别发给FTP服务器、php服务器、邮箱服务器。

    20.png

    (图20:SendLogsFTP线程)

    21.png

    (图21:SendLogsFTP线程中的截屏相关代码SendLogsPHP和SendLogs线程类似)

    根据bindfiles配置项,从内存释放并执行文件。

    22.png

    (图22:释放和运行文件)

    根据downloadfiles配置项,利用url下载并执行文件。

    23.png

    (图23:下载和运行文件)

    根据websitevisitor配置项,决定是否访问某网页。

    24.png

    (图24:访问网页)

    根据“dontclearie”配置项,决定是否清ie cookie。

    25.png

    (图25:清ie cookie)

    根据“dontclearff”配置项,决定是否清firefox cookie。

    26.png

    (图26:清firefox cookie)

    根据“websiteblocker”配置项,利用改host方式,阻止访问网页。

    27.png

    (图27:阻止访问网页)

    根据”Disablesteam”配置项,删除steam记住的密码,利用键盘记录器的功能,盗取密码。

    28.png

    (图28:强制steam,输入按键的方式进行登陆)

    29.png

    (图29:强制steam登陆的原理)

    根据“Disablespreaders“配置项,实现u盘传播。

    30.png

    (图30:u盘传播)

    盗取邮箱和浏览器保存的密码都是利用创建僵尸进程的方式,将资源中的pe文件写入僵尸进程并运行。

    31.png

    (图31:创建僵尸进程盗取邮箱密码)

    32.png

    (图32:创建僵尸进程盗取浏览器密码)

    3. 盗取浏览器密码的pe文件(wd.exe)简单分析

    查看wd.exe文件的属性等信息,发现此pe文件带有正规的签名,查找“Nir Sofer”公司的信息,发现此公司主要开发一些密码恢复相关的工具。

    33.png

     (图33:wd.exe签名信息)

    34.png

    (图34:NirSoft公司相关信息)

    35.png

    (图35:wd.exe软件界面)

    4. 盗取邮箱密码的pe文件(mail.exe)简单分析

    简单查看此pe文件中的明文字条串信息及其它信息,发现此工具也是“Nir Sofer”公司开发的工具。该pe文件pdb路径为”f:\Projects\VS2005\mailpv\Release\mailpv.pdb“

    36.png

    (图36:明文字符串信息)

    37.png

    (图37:mail.exe软件界面)

    0x4 溯源分析

    对木马服务器域名进行反查,可以得到域名注册者的电话及Email信息,再以Email为线索进行反查得到了与此email相关的域名。对这些域名进行分析发现至发稿时间仍有部分域名处于活动状态。此外,腾讯安全御见情报中心在同一时间捕获到一款通过钓鱼邮件传播的盗号木马,该木马使用odimma.info域名,并且其木马服务器后台架构及域名注册邮箱都与本文提及的木马相同,推测两起事件为同一攻击者所为。

    38.png

    (图38:uwaoma.info域名相关的信息)

    39.png

    (图39:与ezeigbo1@protonmail.com相关的域名)

    40.png

    (图40:存活着的域名umunna.info)

    41.png

    (图41:存活着的域名uwaoma.info)

    42.png

    (图42:存活着的域名odimma.info)

    0x5 安全建议

    腾讯电脑管家安全专家建议用户特别警惕来历不明的邮件,勿随意点开其中的附件,保持电脑管家的正常开启,可有效拦截此类病毒攻击。

    43.png

    附录:IOC

    1. Email:

    febic@gmail.com  

    obinna@uwaoma.info

    ezeigbo1@protonmail.com

    2. C2

    mail.uwaoma.info

    umunna.info

    odimma.info

    ababia.info 

    bestluck1.com 

    egobiawa.com 

    egobiawa.info 

    egodiya.com 

    egoigwe.com

    egomma1.com 

    goodmoney9.info 

    imobia.info 

    zacagroup.com

    3. 可执行文件

    DDB427F71A9E0A91572F679EF7E0447F

    6F74FB553924C4D46E7FAA0273E40255

    3F5ACA02ABB16DBF86748596E4FA0258

    43900585311209C45EEBF362CF7AC112

    BF5DD63FD5DF8C0F62002132FE79AA39

    170F9CEB90BD46B838EBBDED622C7932

    F2198FFEF0092CBD32757761D24BE349

    19A742EE2F1806CD81B1D4E444D20656

    80E33B3A6BF17E7B207859F90E78436A

    本文作者:, 转载请注明来自FreeBuf.COM

    # 病毒木马 # PPT
    被以下专栏收录,发现更多精彩内容
    + 收入我的专栏
    评论 按时间排序

    登录/注册后在FreeBuf发布内容哦

    相关推荐
    • 0 文章数
    • 0 评论数
    • 0 关注者
    登录 / 注册后在FreeBuf发布内容哦