通过网络钓鱼电子邮件进行的网络攻击正在增加,并且通常,攻击者使用DOC嵌入式宏来渗透受害者’的机器。最近,Quick Heal 安全 Labs遇到了使用Microsoft的网络钓鱼电子邮件示例。’的方程式编辑器可用来传播Hawkeye键盘记录器。
网络罪犯使用不同的技术来窃取机密数据。现在,他们正在提供高级形式的恶意软件来实现其目的。那’这就是为什么我们仍在观察积极发展的新威胁的原因。 Hawkeye属于键盘记录器家族。最新的Hawkeye v8重生版使用Microsoft Office公式编辑器漏洞CVE-2017-11882进行渗透。我们还发布了有关此漏洞的详细博客文章,可以阅读 这里。此漏洞利用新技术逃避了AV产品的检测。它在执行时编译其代码,并将有效负载加载到内存中,而无需将其写入磁盘。
执行流程:
漏洞利用分析:
公式本机对象的“ FONT”记录中存在缓冲区溢出漏洞。要利用此漏洞,OLE对象必须调用方程式本机对象,并且为此,它需要在OLE文件中包括方程式本机流。
可以通过使用两种类型来完成:
- 使用“本地方程式”流。
- 用于 CLSID “ Equation Native”流。
在这种情况下,它使用 CLSID 而不是“本地方程式”流。
它使用“ OLE10native”流将OLE对象解析为“ Equation Native”流。
以下是“ OLE10native”流的最小标头:
| 双字 | 等式对象的大小(MTEF标头+ MTEF数据) |
在执行OLE之后,将调用文件方程式编辑器并开始解析记录。首先,它解析MTEF标头和TYPESIZE标头,然后开始分析FONT记录。在这种情况下,它会被FONT记录内容的缓冲区溢出。
下图显示了由Equation Native对象解析的OLE10Native流的结构。
利用此漏洞将导致执行Shellcode,并最终从CNC服务器下载恶意内容。
Shellcode通过使用Urlmon.dll中提供的“ URLDownloadToFileW” API连接到URL以下载恶意软件,并执行该恶意软件以进行一些恶意活动。在我们的案例中,我们发现了名为Hawkeye键盘记录程序的恶意软件,它执行键盘记录活动并使用SMTP服务器发送数据。
有效负载分析:
最新的Hawkeye键盘记录器使用3个步骤执行。它从容器开始,执行加载程序,将鹰眼有效载荷注入 Regasm.exe 然后它将捕获存储在浏览器,Outlook和一些FTP文件管理器中的击键和凭据,并使用SMTP协议发送它们。
在第一阶段,对恶意软件文件中以文本格式显示的加密C#代码进行解密,然后在内存中进行编译。之后,内存中存在的已编译代码将由恶意软件执行。以下代码用于编译代码以及使用.NET Framework实用程序执行内存。由于代码是文本形式的,因此可以在运行时进行编译。它减小了有效载荷的大小,并帮助他们从防病毒程序中隐藏。
CSharpCodeProvider用于访问.NET编译器的实用程序,即 脚本文件 用于动态编译代码。为了在没有物理副本的情况下在内存中执行这样的代码,它提供了编译器选项(如图5所示)。当我们将“ GenerateExecutable”提供为false时,它将创建一个类库。如果我们提供的值为“ 真正”,那么它将创建一个可执行文件。对于“ GenerateInMemory”,如果我们提供“ false”作为值,则它将程序集的物理副本保存在%temp%/ randomname.exe中。如果“ GenerateInMemory”为true,则它不会将程序集的物理副本保存在辅助磁盘上。然后通过使用editorResults.CompiledAssembly.EntryPoint.Invoke(null,null);它将从入口点执行代码。
在第二阶段,加载程序从资源中解密Hawkeye重生存根并将其注入到 RegAsm.exe。 Regasm.exe是.NET的程序集注册工具,用于注册或注销程序集。在此恶意软件中,通过使用反射(即 invokeMember 方法)执行regasm.exe,并将鹰眼有效载荷作为参数传递给regasm.exe。然后,此有效负载将作为Regasm.exe下的子进程执行。在图6中,Text4是regasm.exe的路径,hXYyylN6()返回有效载荷的解密字节数组。
在最后阶段,最终的有效负载由加载器执行 RegAsm.exe(这是Microsoft .NET Framework的合法实用程序)。它看起来像一个真正的Microsoft应用程序,但实际上它是Hawkeye键盘记录程序。有效载荷通过使用ConfuserEx 1.0和 抑制Idasm。要在重启后执行恶意软件,它将创建运行条目。
Hawkeye的最新版本包含许多功能,如下所示。
- 捕获用户击键,剪贴板内容。
- 复制FTP,邮件凭据。
- 为了进行反调试,它使用 抑制Idasm 和ConfuserEx 1.0。
- 要禁用防病毒软件和Wireshark之类的工具,它将在这些文件的映像文件执行中添加关键调试器和值rundll32。
- 使用诸如“MailPassView”和“BrowserPassView”以防密码被盗。
- 另外,禁用用于还原文件的rstrui.exe。
- 使用诸如Thread.sleep()之类的反沙盒技术来延迟执行。
- 使用base64加密将数据发送到CNC服务器。
- 该代码在用户端使用csc.exe(C Sharp编译器)
- 在所有目录中搜索“ .Oeaccount”扩展文件。
- 通过在CurrentVersion \\ Policies \\ System下添加注册表来禁用任务管理器,命令提示符和注册表。
- 杀死cmd.exe和Wscript.exe
- 使用来检测防病毒和防火墙产品详细信息 WMI query.
Hawkeye键盘记录器的工作原理:
执行Keylogger时,它首先检查用户类型,然后收集诸如主机名,BIOS,防病毒,防火墙产品详细信息之类的信息,并将所有信息发送到“SUNDA [@] doctorework [。] com”。为了检测防病毒产品的详细信息,它使用 WMI 使用C#的ManagermentObjectSearcher类进行查询。
它创建SMTP连接以与服务器进行数据传输 us2 [。] outbound [。] mailhostbox [。] com, 它以base64加密格式发送所有键盘输入,剪贴板和系统信息。
另外,它使用 pomf [。] cat 网站以使用HTTP POST请求存储屏幕截图。它包含Nirsoft的 MailPassView 和 BrowserPassView 在资源目录中。通过使用 MailPassView 它从Outlook和通过使用获取存储的凭据 浏览器通行证 它会从浏览器中复制存储的凭据,然后通过SMTP连接发送用户的凭据。
它包含防病毒程序和程序列表,如Windows Defender,Wireshark和rstrui.exe。该程序被阻止执行,要实现此目的,它将注册表添加到
“ HKLM \\ SOFTWARE \\ MICROSOFT \\ WINDOWS NT \\ CurrentVersion \\图像文件执行选项\\ Program_name.exe \\”
密钥名称:调试器值: 运行dll32.exe
此外,它会杀死cmd.exe,wscript.exe并修改主机文件。
Rstrui.exe是用于文件还原的实用程序,它通过禁用此类实用程序来防止受害者还原到还原点。
它检查正在运行的应用程序名称是否包含“WPE PRO”, “Wireshark网络分析仪” and it checks “SbieDll.dll”如果正在执行,则终止执行。对于防沙盒技术,它使用睡眠指令。
霍基(Hawkeye)键盘记录器记录了每个按键,这对机密数据安全性有害。
结论:
随着新兴的数字趋势,数据变得越来越重要,因此要窃取数据,攻击者将使用键盘记录器恶意软件。为了躲藏在防病毒产品中,按键记录程序已通过先进的逃避技术从简单的代码演变为托管的MSIL代码。恶意软件作者使用社交工程调整,并使用一些漏洞利用代码渗透到受害者的计算机中。为了保护免受此类攻击,用户应更新其Microsoft应用程序和防病毒产品。快速修复功能通过其先进的检测机制可在多个阶段阻止这种攻击。
侦测:
快速修复为鹰眼键盘记录程序提供多级保护。
通过检测检测到PDF文件: PDF.Downloader.31377
鹰眼通过检测来检测: 木马赎金, Pwstool.Netpass 和 特洛伊木马
国际奥委会:
PDF:5F9227210036BB64F71E9A5E25115A39
DOC:5191234DBE697D3A79400FD89DEE3BBD
声音:78787470C46A45BE5AF5AE5DC2BF6EB9
域:hxxp [:] // fbsleads [。] com / assets / SSUUNDS [。] exe
邮件编号: da达[@] doctorework.com
邮件服务器:us2 [。]出站[。] mailhostbox [。] com
主题专家:
Aniruddha Dolas,Vallabh Chole,Pradeep Kulkarni |快速修复安全实验室
没意见