当前位置:首页 > 网络安全 > 正文内容

从哪里可以找到真正的黑客(从哪里可以找到真正的黑客模式)

hacker3个月前 (08-17)网络安全32

  导语

  这个故事要从一次垃圾邮件攻击事件说起,下图是一个笔者从某封垃圾邮件里提取的可疑附件。至于下面这蹩脚的英语,这也是值得我们注意的地方。

  上图的附件使用了“.doc”作为后缀,但它其实是RTF(富文本)格式的文件。该文件包含了一个针对性的RTF栈溢出exp,它利用了CVE-2010-3333,也就是在微软Word RTF解析器在处理pFragments时会产生的一个漏洞。然而,该漏洞在五年前就已经修补了。

  正如你在上图中看到的那样,该exp和shellcode做了混淆来逃避杀软的检测。经过各种提取整理解密之后,笔者发现该shellcode会从volafile.io上面下载文件来执行。

  下载下来的这个文件是微软.net Win32可执行文件,简单hex dump了这个文件,笔者发现了HawkEyekeylogger字符串。

  在谷歌后发现,它指引笔者找到了开发该键盘记录器的官网。在网站里,他们列出了该键盘记录器一些的特性。

  在笔者动态的分析中,该键盘记录器会把自身复制一份到Application Data(%appdata%)文件夹,并且将复制后的文件命名为WindowsUpdate.exe。同时,它在注册表里设置了开机启动,以实现其持续性攻击。

  并且,它还会在受感染的系统里释放以下文件:

  %Temp%\Sysinfo.txt – 释放的恶意软件exe路径

  %Appdata%\pid.txt –恶意软件进程ID

  %Appdata%\pidloc.txt – 恶意软件进程exe路径

  接着,笔者观察到该键盘记录器试图去checkip.dyndns.com,获取受感染系统的外网IP。这个合法的网站经常被恶意软件利用,拿来确定受感染系统的IP地址。

从哪里可以找到真正的黑客(从哪里可以找到真正的黑客模式)

  过了一会儿,笔者监控到了SMTP流量,发现了受感染系统发送信息给黑客email的动作。

  里面的信息可能包括:

  计算机名

  本地日期和时间

  系统语言

  操作系统

  平台

  操作系统版本

  内存

  .net框架

  系统权限

  默认浏览器

从哪里可以找到真正的黑客(从哪里可以找到真正的黑客模式)

  防火墙

  内网IP地址

  外网IP地址

  恢复邮件设置和密码

  恢复浏览器和FTP密码

  正如前面笔者提到的,这款键盘记录器是由.net编译的。所以,笔者接下来需要反编译这个可执行文件。笔者使用了一个开源的.net反编译工具ILSpy来完成这个任务。

  笔者反编译出了源代码,并将其与官网的特性列表进行比较,结果表明是完全符合的。笔者发现其代码有以下的特点:

  一个剪贴板记录器

  一个浏览器,FTP和邮件客户端密码记录器。它也会去尝试窃取密码管理器证书和windows密钥。

  蠕虫类的USB感染程序,可以让记录器感染扩散到其他windows机器。

  它也针对一些Steam游戏平台的用户,通过删除配置和登录数据文件,用户会强制再次登录。这就给了键盘记录器窃取用户Steam认证的可乘之机。

  窃取的信息里包括桌面截图,它们会被发送到黑客的邮箱,或者键盘记录器里配好的FTP服务器上。

  黑客貌似也会配置键盘记录器,通过HTTP将窃取的信息上传到PHP服务器上。但是奇怪的是,这里的代码留空了。

  笔者在反编译时,发现最有趣的是一个C#的构造函数Form1()。这是键盘记录器储存配置的地方,但是为了确保黑客电子邮件地址和FTP登录凭证的安全,它们使用了Rijndael算法和加密。

  但是我们知道,这些加密的数据并不一定安全,特别是解密的部分写在了笔者能够反编译的代码里。

  下面这张图是Decrypt(解密)方法,它会接收两个字符串参数:encryptedBytes和secretKey。这个安全密钥恰好是硬编码字符串HawkSpySoftwares。

  正如提到的那样,该键盘记录器使用了Rijndael算法,安全密钥用了Unicode字符串“099u787978786”进行加盐,也是硬编码。

  处于好奇,笔者复制了这部分代码,简单修改适应后,在MS Visual Studio里面去进行编译。当然,最后笔者应该是解密成功了(待验证)。

  最后,笔者拿着邮箱认证信息去登陆尝试。

  这些似乎是感染系统上的电子邮件地址。所以笔者检查了邮件设置,结果发现了意外之喜!发送到这个邮箱的电子邮件会自动转发到黑客的Gmail账户里。你可以在下面截图里看到黑客的Gmail地址。

  也许黑客知道HawkEye容易被破解,所以为了保护他们自己的电子邮件认证信息,就劫持了一个无辜的电子邮件账户作为初始的接收器,最后它会把收到的内容统统转给黑客的真实电子邮件地址。

  最终,笔者把受害的电子邮件帐户还给了失主,并为他们修改了密码,移除了黑客的电子邮件重定向设置。

  如文中所写的,笔者也收到了包含CVE-2012-0158的exp附件,里面是同一款键盘记录器,但是却配置了另一个电子邮箱账户作为窃取数据的初始接收邮箱。

  攻击中的这两个漏洞虽然已经比较早了,但是仍广泛用于电子邮件攻击之中,这里建议读者更新好补丁,使用好相应的杀软,从而防御黑客的攻击。

  

  培养专业的网络安全人才,

  成就优秀的安全“大牛“

  QQ交流群:204528261

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/148823.html

分享给朋友:

“从哪里可以找到真正的黑客(从哪里可以找到真正的黑客模式)” 的相关文章

黑客追款出款成功再收费「24小时在线的黑客追款」

据公务员期刊网2021年10月14日18:37:49的最新发布,微博网友@ 爆料。 平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议! 据悉,黑客追款出款成功再收费。可能没有机会接触到钱。那时候我就有想过退步。 一、黑客追回网赌40万 首先确保整个无前期费用黑客追款方案是最有效的,在做一件黑客...

创业板投资风险揭示书,创业板风险揭示书

保荐机构(主承销商):中泰证券股份有限公司 苏州天路光科技股份有限公司(以下简称“天路科技”、“发行人”或“公司”)首次公开发行不超过2579万股普通股(a股)(以下简称“本次发行”)的申请,已经深圳证券交易所(以下简称“深交所”)创业板上市委员会委员审议通过,并经中国证券监督管理委员会(以下...

【紧急+重要】勒索病毒解决方案!附:MS17-010补丁下载

  滚动更新:2017年5月13日16:57:22   游侠安全网(良心网站,站长先贴上注意事项和解决方法!防止你看本文的时候就被加密了!   1、本次共计是自动化攻击,利用了Windows的MS17-010。但苹果的MacOS用户不用得意,因为在昨晚之前,我这里得到的好几起勒索攻击案例都是针对...

干洗对衣物有害吗

干洗对衣物有害吗 干洗剂实际上就是有机溶剂,所以对衣服多少都有点危害,只不过高级的干洗剂对衣服损伤小一些而已。 随着人们工作的繁忙和生活节奏的加快,现代人更多地把换下的衣物送到洗衣店干洗,以保证衣服不变形和有更多的时间休闲娱乐,这本是一件提高生活品质的好事,但据最新的研究显示,干洗衣物对身...

安宫牛黄丸 - 北京同仁堂安宫牛黄丸

能降低惊厥和死亡率,天然牛黄天然麝香。对突然脑埂塞,并且只有北京同仁堂生产的安宫牛黄丸才可以使用,北京同仁堂集团顾问金霭英老人说,局方至宝丹、与作用是清热解毒。 4月30之前是350元.重镑产品,公元1541年。平时还是要遵医嘱服用适合自己的降压药。同仁堂的安宫牛黄丸使用的是老方子,黄芩。 北京同仁...

尚村最新水貂皮毛价格,丹麦貂皮衣大概多少钱

样子单女款大概貂皮在8000,014-3-24河北尚村蓝狐皮价格,不过价格一般比较高的啊,这个就要看品牌的了,多看看,我要打印IE收藏放入公文包我要留言查看留言文章来源:中国皮草网添加,60公分6000左右,水貂皮大衣最新价格有木有,这个主要看质量了,水貂皮草大衣真假看皮面:如果是真毛。 元/张,5...

评论列表

竹祭岁笙
3个月前 (08-17)

该shellcode会从volafile.io上面下载文件来执行。  下载下来的这个文件是微软.net Win32可执行文件,简单hex dump了这个文件,笔者发现了HawkEyekeylogger字符串。  在谷歌后发现,它指引笔者找到了开发该键盘记录器的官网。在

鸠骨痛言
3个月前 (08-17)

着,笔者观察到该键盘记录器试图去checkip.dyndns.com,获取受感染系统的外网IP。这个合法的网站经常被恶意软件利用,拿来确定受感染系统的IP地址。  过

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。