安全中心 > 安全热点分析 > 账单明细PPT暗藏玄机:HawkEye Keylogger木马分析

账单明细PPT暗藏玄机:HawkEye Keylogger木马分析

时间:2017年 12月 23日   作者:腾讯反病毒实验室

0x1 概况

继前两周活跃的“商贸信”病毒之后,腾讯安全御见情报中心再次捕获一款针对外贸行业从业者的木马:HawkEye Keylogger。与上次相比,这次木马不再利用office漏洞CVE-2017-11882,而是利用PowerPoint“动作”特性进行攻击。一旦用户不慎点击下图ppt“启用”按钮,一款带有键盘记录器并能盗取邮箱、浏览器、比特币等帐号密码的木马就会下载到用户电脑上并运行起来。

通过样本编译时间以及木马服务器上的文件修改时间可以看出,该木马从2017年8月初开始活动,并且目前攻击活动仍在继续,据统计国内每天有数千个用户受到该攻击影响。

0x2 传播方式

攻击者利用鱼叉式钓鱼邮件将带有恶意代码的ppsx文件发送到从网络等渠道收集来的邮箱地址。从邮件内容来看,主题和内文与“商贸信”钓鱼邮件相似,都带有“账单”、“订单”等诱导性字眼。

当用户双击或右键->打开方式->Microsoft PowerPoint打开此ppsx文件,该ppt会全屏显示,并弹出“Microsoft PowerPoint安全声明”窗口,从而诱导用户点击“启用”按钮,达到运行木马目的。

通过对收件人邮箱进行聚类分析,可以看到收件人主要从事外贸等相关行业。很多公司会将邮箱作为联系方式公布在网上,这也给不法分子提供了可乘之机。通过网上搜索,可以看到目前仍然有不少收件人邮箱暴露在公司网站的联系人栏目中。

0x3 技术分析

1. 嵌入ppt的恶意脚本

打开Microsoft PowerPoint程序,再通过“文件->打开”(注意不要点击“播放”打开ppt,提取出其中的动作,可发现一段带下载和运行功能的powershell脚本。

2. 下载下来的payment111.exe为分析

木马还会将当前进程pid及路径分别写入%appdata%\pid.txt和%appdata%\pidloc.txt文件里

后会解密收信服务器相关信息,解密后的emailstring为obinna@uwaoma.infopassstring为"imostatenigeria"smtpstring为"mail.uwaoma.info"ftphost的值为默认值"ftp.yourhost.com"ftpuser为默认值"YourUsername"ftppass为默认值"YourPassword"phplink的值为"http://www.site.com/logs.php"

通过访问http://whatismyipaddress.com/获取出口ip

获取杀软及防火墙信息。

开启相关的功能线程,会根据配置决定是将收集的信息发送给ftp服务器、php服务器还是email服务器,本木马配置的是将盗取的信息发送给邮箱服务器。

ServerInstall线程用是发送上线信息。

StartStealers线程的作用是盗取邮箱、浏览、比特币相关的密码。

Minecraftsub线程的作用盗取“我的世界”游戏密码。

Pins线程的作用盗取RuneScape 游戏的Bank Pins(个人安全凭证)。

Disabler线程的作用是禁用任务管理器、禁用命令行、禁用msconfig、禁用注册表等。

根据“Disablelogger”选项决定是否开启键盘记录器。

SendLogsFTP线程、SendLogsPHP线程、SendLogs线程的作用是将记录的剪贴板信息、按键记录信息、截屏信息分别发给FTP服务器、php服务器、邮箱服务器。

根据bindfiles配置项,从内存释放并执行文件。

根据downloadfiles配置项,利用url下载并执行文件。

根据websitevisitor配置项,决定是否访问某网页。

根据dontclearie”配置,决定是否ie cookie。

根据dontclearff”配置,决定是否firefox cookie。

根据websiteblocker”配置项,利用改host方式,阻止访问网页。

根据”Disablesteam”配置,删除steam记住的密码,利用键盘记录器的功能,盗取密码。

根据Disablespreaders“配置项,实现u盘传播。

盗取邮箱和浏览器保存的密码都是利用创建僵尸进程的方式,将资源中的pe文件写入僵尸进程并运行。

3. 取浏览器密码pe文件(wd.exe)简单分析

wd.exe文件的属性信息,发现此pe文件带有正规的签名,“Nir Sofer”公司的信息,发现此公主要开发一些密码恢复相关的工具。

4. 盗邮箱密码的pe文件mail.exe)简单分析

简单查看此pe文件中的明文字条串信息信息,发现此工具也是“Nir Sofer”发的工具。pe文件pdb路径”f:\Projects\VS2005\mailpv\Release\mailpv.pdb“

0x4溯源分析

对木马服务器域名进行反查,可以得到域名注册者的电话及Email信息,再以Email为线索进行反查得到了与此email相关的域名。对这些域名进行分析发现至发稿时间仍有部分域名处于活动状态。此外,腾讯安全御见情报中心在同一时间捕获到一款通过钓鱼邮件传播的盗号木马,该木马使用odimma.info域名,并且其木马服务器后台架构及域名注册邮箱都与本文提及的木马相同,推测两起事件为同一攻击者所为。

0x5 安全建议

腾讯电脑管家安全专家建议用户特别警惕来历不明的邮件,勿随意点开其中的附件,保持电脑管家的正常开启,可有效拦截此类病毒攻击。

相关热点分析