对 Hawkeye Keylogger – Reborn v8 恶意软件活动的深入分析

如今,大年夜部分收集犯罪都是由地下市场助长的,在地下市场,恶意软件和收集犯罪办事是可以购买的。这些市场在深层收集商品化恶意软件运作。纵然是收集犯罪新手也可以购买恶意软件对象包和恶意软件活动所需的其他办事:加密、托管、反查杀、垃圾邮件等。

Hawkeye Keylogger(也称为iSpy Keylogger/键盘记录器)是一种盗守信息的恶意软件,被作为恶意软件办事出售。多年来,Hawkeye背后的恶意软件作者改进了恶意软件办事,增添了新的功能和技巧。它上一次是在2016年的一次大年夜规模运动中被应用的。

今年标志着Hawkeye的中兴。四月,恶意软件作者开始兜售新版本的恶意软件,他们称之为Hawkeye Keylogger- Reborn v8。不久之后,在4月30日,Office 365 高档要挟防护 (ATP) 检测到了一个大年夜规模的活动,分发了这个键盘记录器的最新变体。

一开始,Office 365封锁了电子邮件活动保护客户,此中52%的客户是软件和技巧部门的。银行业(11%)、能源(8%)、化工(5%)和汽车业(5%)的公司也是最受关注的行业。

Office 365 ATP应用智能系统反省附件和恶意内容链接,以保护客户免受像Hawkeye这种活动的要挟。这些自动化系统包括一个壮实的引爆平台(detonation platform)、启迪式和机械进修模型。Office 365 ATP应用来自各类智能办事,包括Windows Defender Advanced Threat Protection中的多个功能(Windows Defender ATP)。

Windows Defender AV(Windows Defender ATP的一个组成部分)检测到并阻拦了至少40个国家在该运动中应用的恶意附件。阿联酋在这些蒙受中占19%,而荷兰(15%)、美国(11%)、南非(6%)和英国(5%)则是在这场活动中应用诱饵文件的前5名国家中的其他国家。Windows Defender AV (TrojanDownloader:O97M/Donoff, Trojan:Win32/Tiggre!rfn, Trojan:Win32/Bluteal!rfn, VirTool:MSIL/NetInject.A)中的通用保护和启迪式保护的组合确保了这些要挟在客户情况中能被阻拦。

作为我们保护客户免受恶意软件进击的事情的一部分,Office 365 ATP钻研职员监控像Hawkeye这样的恶意软件活动和收集犯罪领域的其他成长。我们对类似Hawkeye等恶意软件活动的深入查询造访增添了我们从Microsoft Intelligent Security Graph得到的要挟情报,这使我们能够赓续前进安然性标准。经由过程Microsoft Intelligent Security Graph,Microsoft 365中的安然技巧共享旌旗灯号和检测,容许这些技巧自动更新保护和检测机制,以及在全部Microsoft 365中组织修复。

活动概览

只管它的名字,Hawkeye Keylogger – Reborn v8不仅仅是一个通俗的键盘记录器。跟着光阴的推移,作者已经集成了各类模块,这些模块供给了高档功能,如隐身和检测规避,以及凭证偷取等等。

像Hawkeye这样的恶意软件办事是在深度收集上做广告和贩卖的,这必要匿名收集(如Tor)来造访等等。有趣的是,“Hawkeye”的作者在网站上刊登了他们的恶意软件广告,以致在网站上宣布了教程视频。更有趣的是,在地下论坛,恶意软件作者雇佣了中介经销商,这是收集犯罪地下商业模式扩展和成长的一个例子。

我们对2018年4月Hawkeye运动的查询造访显示,自2月份以来,收集犯罪分子就不停在为这一行动做筹备,当时他们注册了他们后来在活动中应用的域名。

在范例的恶意软件运动中,收集罪犯采取了以下步骤:

应用从地下获取的恶意软件天生器构建恶意软件样本和恶意软件设置设置设备摆设摆设文件。

建立武器化文件,用于社会工程诱饵(可能应用在地下购买的另一种对象)

包装或肴杂样本

注册恶意软件要用的域名

提议了一场垃圾邮件活动(可能应用付费的垃圾邮件办事)来分发恶意软件。

和其他恶意软件对象包一样,Hawkeye配备了一个治理面板,收集罪犯可以用来监视和节制进击。

有趣的是,在此次Hawkeye活动中应用的一些措施与曩昔的进击是同等的。这注解,这场运动背后的收集罪犯可能是认真供给远程造访对象(RAT)Remcos和盗守信息的bot恶意软件Loki的同一组人。在这些活动中采纳了下面的措施:

创建繁杂的多阶段交付链的多个文档。

应用bit.ly短链接重定向

应用恶意宏、vbscript和powershell脚本运行恶意软件;Remcos活动应用了cve-2017-0199的破绽,但应用了相同的域名。

多样本同等性肴杂技巧

进口

4月尾,Office 365 ATP阐发职员发明,主题行RFQ-GHFD456 ADCO 5647在5月7日截止日期条件议了一场新的垃圾邮件活动,此中包孕一个名为Scan Copy 001.doc的Word文档附件。虽然附件的文件扩展名是.doc,但实际上它是一个恶意的Office Open XML款式文档,它平日应用.docx文件扩展名。

这场活动统共应用了四个不合的主题和五个附件。

因为附件包孕恶意代码,是以打开Microsoft Word时会发出安然警告。文档应用了一个常见的社交工程诱饵:它显示一条假消息和一条指令,用于“启用编辑”和“启用内容”。

[1] [2] [3]下一页

该文档包孕应用短URL连接到远程位置的嵌入式框架。

该框架从hxxp://bit[.]ly/Loadingwaitplez加载.rtf文件,重定向到hxxp://stevemike-fireforce[.]info/work/doc/10.doc。

RTF有一个嵌入的恶意.xlsx文件,此中宏作为OLE工具,该文件又包孕一个名为PACKAGE的stream,此中包孕.xlsx内容。

宏剧今大年夜部分是肴杂过的,然则恶意软件payload的URL以明文形式呈现。

反肴杂整个代码,让它的意图变得清晰。第一部分应用PowerShell和System.Net.WebClient工具将恶意软件下载到路径C:UsersPublicsvchost32.exe并履行它。

然后,宏脚本终止winword.exe和exel.exe。在Microsoft Word覆盖默认设置并以治理员权限运行的环境下,宏可以删除Windows Defender AV的恶意软件定义。然后,它将变动注册表以禁用Microsoft Office的安然警告和安然功能。

总之,该活动的交付由多个层次的组件组成,目的是回避检测,并可能使钻研职员的阐发繁杂化。

下载的payload,svchost32.exe是一个名为Millionare的.NET法度榜样集,它应用众所周知的开源.NET肴杂器ConfuerEx的老例版本进行肴杂处置惩罚。

肴杂会改动.NET法度榜样集的元数据,使所有类和变量名都是Unicode中的无意义和肴杂名称。这种肴杂导致一些阐发对象(如 .NET Reflector)将某些名称空间或类名显示为空缺,或者在某些环境下向后显示部分代码。

着末,.NET二进制文件加载一个未打包的.NET法度榜样集,此中包括嵌入式可移植可履行文件(PE)中的资本的DLL文件。

恶意软件加载器

启动恶意行径的DLL作为资本嵌入到未打包的.NET法度榜样集中。它应用process hollowing 技巧加载到内存中,这是一种代码注入技巧,涉及到天生一个合法进程的新实例,然后将其“空洞化(hollowing)”,即用恶意软件调换正今世码。

曩昔的Hawkeye变体(V7)将主payload加载到自己的进程中,与此不合的是,新的Hawkeye恶意软件将其代码注入到MSBuild.exe、RegAsm.exe和VBC.exe中,它们是.NET框架附带的可署名可履行文件。这是一种冒充为合法历程的措施。

此外,在上一个版本中,process hollowing例程是用C编写的。在新版本中,这个例程被完全重写为一个托管.NET,然后调用本机Windows API。

恶意软件功能

由最新版本的恶意软件对象包创建的新的Hawkeye变体具有多种繁杂的功能,可用于信息偷取和回避检测和阐发。

信息偷取

主键盘记录功能是应用钩子来实现的,钩子监控按键,鼠标点击和窗口情况,以及剪贴板钩子和屏幕截图功能。

它具有从下列利用法度榜样提取和偷取凭证的特定模块:

Beyluxe Messenger

Core FTP

FileZilla

Minecraft (在曩昔的版本中调换了RuneSscape模块)

与许多其他恶意软件活动一样,它应用合法的BrowserPassView和MailPassView对象从浏览器和电子邮件客户端转储凭证。它还有一些模块,假如有摄像头的话,可以保存桌面截图。

值得留意的是,恶意软件有一种造访某些URL的机制,用于基于点击的盈利要领.

隐身和反阐发

在processes hollowing技巧的根基上,该恶意软件应用其他隐身措施,包括从恶意软件下载的文件中删除Web标记(MOTW)的备用数据流。

恶意软件可以被设置设置设备摆设摆设为将履行延迟随意率性秒,这是一种主要用于避免被各类沙箱检测到的技巧。

它为了防止反病毒软件检测应用了有趣的技巧运行。它向注册表位置HKLMSoftwareWindowsNTCurrentVersionImage File Execution Options添加键,并将某些进程的Debugger 值设置为rundll32.exe,这会阻拦它履行。针对与防病毒和其他安然软件有关的进程:

AvastSvc.exe

AvastUI.exe

avcenter.exe

avconfig.exe

avgcsrvx.exe

avgidsagent.exe

avgnt.exe

avgrsx.exe

avguard.exe

avgui.exe

avgwdsvc.exe

avp.exe

avscan.exe

bdagent.exe

ccuac.exe

ComboFix.exe

egui.exe

hijackthis.exe

instup.exe

keyscrambler.exe

mbam.exe

上一页[1] [2] [3]下一页

mbamgui.exe

mbampt.exe

mbamscheduler.exe

mbamservice.exe

MpCmdRun.exe

MSASCui.exe

MsMpEng.exe

msseces.exe

rstrui.exe

spybotsd.exe

wireshark.exe

zlclient.exe

此外,它还阻拦对某些域名的造访,这些域名平日与防病毒或安然更新相关联。它经由过程改动主机文件来做到这一点。要阻拦的域列表由进击者应用设置设置设备摆设摆设文件确定。

这种恶意软件还保护自己的进程。它阻拦敕令提示符、注册表编辑器和义务治理器,经由过程改动本地组策略治理模板的注册表项来做到这一点。假如窗口标题与“ProcessHacker”、“ProcessExplorer”或“Taskmgr”匹配,它还会赓续反省活动窗口并出现弗成用的操作按钮。

同时,它可以防止其他恶意软件感染这台机械。它反复扫描和删除某些注册表项的任何新值,竣事关联进程,并删除相关文件。

Hawkeye试图避免自动阐发。履行的延迟是为了防止为恶意软件的履行和阐发分配必然光阴的自动沙箱阐发。它同样试图经由过程监视窗口并在发明以下阐发对象时退出来回避手动阐发:

Sandboxie

Winsock Packet Editor Pro

Wireshark

保护邮箱、网站和收集免受持久性恶意软件进击

Hawkeye展示了恶意软件在收集犯罪地下的要挟情况中的持续蜕变。恶意软件办事使得纵然是简单的操作者也可以造访恶意软件,同时应用诸如内存中解压缩和滥用.NET的CLR引擎的高档技巧使恶意软件加倍耐用。在本文中,我们先容了它的最新版本Hawkeye Keylogger – Reborn v8的功能,重点先容了曩昔版本的一些增强功能。鉴于其历史,Hawkeye很可能在未来宣布一个新版本。

各公司应继承对员工进行识别和预防社会工程进击的教导。终究,Hawkeye繁杂的感染链是从一封社交工程电子邮件和诱饵文件开始的。一支具有安然意识的员工步队将在保护收集免受进击方面发挥很大年夜感化。

更紧张的是,应用先辈的要挟保护技巧保护邮箱、网站和收集,可以防止像Hawkeye这样的进击、其他恶意软件操作和繁杂的收集进击。

我们对最新版本的深入阐发,以及我们对推动这一成长的收集犯罪操作的洞察力,使我们能够积极地建立起对已知和未知要挟的强有力保护。

Office 365高档要挟保护(Office 365 ATP)保护邮箱以及文件、在线存储和利用法度榜样免受Hawkeye等恶意软件的进击。它应用一个壮实的引爆平台、启迪式和机械进修实时反省附件和链接中的恶意内容,确保携带Hawkeye和其他要挟的电子邮件不会到达邮箱和设备。

Windows Defender Antivirus(Windows Defender AV)经由过程检测经由过程电子邮件通报的恶意软件以及其他感染载体,供给了额外的保护层。应用本地和基于云的机械进修,Windows Defener AV的下一代保护可以在Windows 10 S模式下和Windows 10上阻拦新的和未知的要挟。

此外,Windows防御高档要挟保护(Windows Defect AdvancedThreat,Windows Defect ATP)中的端点检测和相应(EDR)功能裸露了繁杂的、逃避性的恶意行径,例如Hawkeye所应用的行径。

Windows Defender ATP富厚的检测库由机械进修驱动,容许安然操作团队检测和相应收集中的非常进击。例如,当Hawkeye应用恶意PowerShell下载payload时,机械进修检测算法会呈现以下警报:

Windows Defender ATP还供给了基于行径的机械进修算法,用于检测payload本身:

这些安然技巧是Microsoft 365中高档要挟保护办理规划的一部分。经由过程Microsoft智能安然图增强Windows、Office 365和企业移动+安然性中办事之间的信息共享,从而能够在Microsoft 365中自动更新保护和解救的安排。

IoC

电子邮件主题:

{EXT} NEW ORDER ENQUIRY #65563879884210#

B/L COPY FOR SHIPMENT

Betreff: URGENT ENQ FOR Equipment

RFQ-GHFD456 ADCO 5647 deadline 7th May

附件文件名:

Betreff URGENT ENQ FOR Equipment.doc

BILL OF LADING.doc

NEW ORDER ENQUIRY #65563879884210#.doc

Scan Copy 001.doc

Swift Copy.doc

域名:

lokipanelhostingpanel[.]gq

stellarball[.]com

stemtopx[.]com

stevemike-fireforce[.]info

重定向短链接:

hxxp://bit[.]ly/ASD8239ASdmkWi38AS (Remcos活动中也有应用)

hxxp://bit[.l]y/loadingpleaswaitrr

hxxp://bit[.l]y/Loadingwaitplez

文件(SHA-256):

d97f1248061353b15d460eb1a4740d0d61d3f2fcb41aa86ca6b1d0ff6990210a – .eml

23475b23275e1722f545c4403e4aeddf528426fd242e1e5e17726adb67a494e6 – .eml

02070ca81e0415a8df4b468a6f96298460e8b1ab157a8560dcc120b984ba723b – .eml

79712cc97a19ae7e7e2a4b259e1a098a8dd4bb066d409631fb453b5203c1e9fe – .eml

452cc04c8fc7197d50b2333ecc6111b07827051be75eb4380d9f1811fa94cbc2 – .eml

95511672dce0bd95e882d7c851447f16a3488fd19c380c82a30927bac875672a – .eml

1b778e81ee303688c32117c6663494616cec4db13d0dee7694031d77f0487f39 – .eml

12e9b955d76fd0e769335da2487db2e273e9af55203af5421fc6220f3b1f695e – .eml

12f138e5e511f9c75e14b76e0ee1f3c748e842dfb200ac1bfa43d81058a25a28 – .eml

9dfbd57361c36d5e4bda9d442371fbaa6c32ae0e746ebaf59d4ec34d0c429221 – .docx (stage 1)

f1b58fd2bc8695effcabe8df9389eaa8c1f51cf4ec38737e4fbc777874b6e752 – .rtf (stage 2)

5ad6cf87dd42622115f33b53523d0a659308abbbe3b48c7400cc51fd081bf4dd – .doc

7db8d0ff64709d864102c7d29a3803a1099851642374a473e492a3bc2f2a7bae – .rtf

01538c304e4ed77239fc4e31fb14c47604a768a7f9a2a0e7368693255b408420 – .rtf

d7ea3b7497f00eec39f8950a7f7cf7c340cf9bf0f8c404e9e677e7bf31ffe7be – .vbs

ccce59e6335c8cc6adf973406af1edb7dea5d8ded4a956984dff4ae587bcf0a8 – .exe (packed)

c73c58933a027725d42a38e92ad9fd3c9bbb1f8a23b3f97a0dd91e49c38a2a43 – .exe (unpacked)

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包