如何逆向破解HawkEye keylogger鍵盤記錄器，進入攻擊者郵箱？

這一切要從一次惡意郵件攻擊活動開始。下圖為我們最近監測到的一個以惡意檔案為發送附件的郵件攻擊，請注意郵件資訊中的英語寫作水準是多麼差勁，其實，這也是惡意郵件的一個特點，還請收件人提高警惕。

郵件樣本

在這封郵件中其附件以“.doc”檔案擴充名結尾，但其實這是一個rtf（富文本）格式檔案，檔案被嵌入了一個精心構造的cve-2010-3333漏洞利用腳本，漏洞産生原因為微軟office檔案格式轉換器在處理rtf檔案“pfragments”參數屬性時存在棧緩沖區溢出，遠端攻擊者可以借助特制的rtf資料執行任意代碼，該漏洞又名”rtf棧緩沖區溢出漏洞”，但微軟官方已在5年前就已修複了漏洞。

被加密混淆的rtf檔案

在上圖中你可以看到，漏洞利用代碼中的shellcode字段被模糊變形以避免防毒軟體的檢測，在經過代碼提取、清理和解密之後，我确定了漏洞利用代碼的shellcode将會從一個未知域名volafile.io下載下傳并執行某些檔案。

shellcode 的16進制字元串

漏洞攻擊負載

下載下傳的可執行檔案

經過分析，從volafile.io 下載下傳的檔案是一個.net可執行檔案，通過十六進制檔案分析之後可以得到一個有趣的線索，編碼中出現了“hawkeyekeylogger”字段。

hawkeye 鍵盤記錄的主體

通過google搜尋技巧，最終我找到了開發該keylogger軟體的網站，在網站上，他們聲稱并列出了所有“hawkeyekeylogger”具備的“牛x的功能”。

hawkeye keylogger 功能清單

在我的動态分析中發現，該keylogger在一個名為%appdata%的檔案夾下釋放自身副本，啟動一個名為windowsupdate.exe的程式為運作程序，并設定程序啟動資訊為随機自啟動，實作與系統同時啟動。

keylogger’的例行程式

同時，該keylogger也在受感染的系統中釋放以下檔案：

%temp%sysinfo.txt–惡意程式的執行路徑

%appdata%pid.txt–惡意程序id

%appdata%pidloc.txt–惡意程式可執行檔案的位置

之後，我想通過觀察keylogger的網絡外聯活動以擷取其遠端管理控制ip位址

受感染主機的網絡包

一段時間之後，被keylogger感染的主機就開始向攻擊者郵箱發送資訊了

被感染keylogger的主機向攻擊者遠端控制管理郵件發送本機相關資訊

這些資訊包括：

計算機名稱（或cpu資訊）

本地日期和時間

系統語言

安裝的作業系統

系統開發平台

作業系統版本

系統記憶體

開發架構

系統權限

預設浏覽器

安裝的防火牆

内部ip位址

外部ip位址

電子郵件密碼和相關設定

浏覽器設定和ftp密碼

如前所述，該keylogger軟體是利用.net架構編寫的，是以接下來我用.net 編譯器ilspy來完成這項任務。

hawkeye keylogger 反編譯代碼

我把“hawkeye keylogger”開發網站上聲稱具備的“牛x的功能”，與反編譯源代碼時認真對照，可以肯定的是其功能确實很厲害。這以下就是其具備的功能：

鍵盤記錄：

鍵盤記錄程式

剪貼闆操作記錄：

剪貼闆操作例行程式

竊取浏覽器、郵件用戶端、ftp密碼，它還試圖竊取密碼管理器憑據和系統密碼：

還有一個将keylogger通過usb傳播感染到其它系統主機的蠕蟲程式：

usb 感染程式

它還針對線上遊戲平台steam使用者，通過删除電腦上儲存的遊戲配置資料和登入資訊，強制使用者再次登入，然後利用鍵盤記錄程式竊取使用者的登入密碼。

steam遊戲平台感染程式

另外，hawkeye keylogger還通過郵件反彈和ftp方式竊取被感染系統的桌面截屏，以确定其程式是否被正确配置。

郵件發送程式

攻擊者也可以配置鍵盤記錄軟體，通過http通道上傳被盜資訊至一個php主機，但這部分代碼似乎是空的。

最有趣的是我在反編譯代碼中發現了一個名為form1()的c#構造函數，這就是hawkeye keylogger軟體的配置存儲函數，但攻擊者使用了base64對遠端控制和管理的電子郵件和ftp資訊進行了加密隐藏。

keylogger配置資訊

但是，這些加密的資料并不總是安全的，特别是當反編譯源代碼中就可以看出解密程式來時

解密函數調用

下圖就是解密函數，它包含兩個字元串參數encrypted bytes和secretkey,密鑰字元串是固定的寫死hawkspysoftwares

解密程式

同時，hawkeye keylogger使用者還使用了unicode字元串 “099u787978786″對密碼字元串進行加鹽處理

keylogger 使用的加密方法

出于好奇，我複制了代碼的解密部分，并進行了相應修改，在ms visualstudio程式下編譯，最終解密成功，包含了郵件和ftp賬戶密碼（對不起，我需要對解密資訊進行模糊處理）

經過解密的攻擊者的遠端控制郵箱和ftp資訊

當然，最終我還是好奇地登入了攻擊者的遠端控制管理郵箱。

攻擊者的遠端控制管理郵箱登入界面

在攻擊者的控制管理郵箱裡，我發現了受害者被竊取的電子郵件資訊，并嘗試進行了登入，讓人驚訝的是，受害者的電子郵件系統中被設定了郵件轉發功能，受害者所有的收發郵件被自動轉發到了攻擊者的另外一個郵箱[email protected]。

受害者郵箱系統被設定了自動轉發功能

在對此次攻擊分析之後，我們又發現了另外一個包含cve-2012-0158漏洞利用代碼的rtf郵件攻擊。雖然這兩個漏洞都比較過時了，但仍然被廣泛用于郵件攻擊中。

(後記：在2015年被發現的“海德薇”（hedwig）apt網絡攻擊中，hawkeyekeylogger被用作竊密木馬)

====================================分割線================================

本文轉自d1net（轉載）