Hawkeye回避机制和反调试手艺剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Hawkeye回避机制和反调试手艺剖析

申博_安全防护 申博 93次浏览 已收录 0个评论

引见

“Hawkeye Keylogger”是一款在暗网上出卖的信息盗取软件,自2013年以来一直在不断发展,也增加了很多新的功用和手艺。它的主要功用就是从种种应用顺序(主假如电子邮件客户端、Web浏览器和FTP客户端)处网络凭据,并经由历程协定(如FTP,HTTP和SMTP)将它们发送给要挟行动者。

Cybaze-Yoroi ZLAB将经由历程近来的Hawkeye样本对其回避机制和应用Visual Basic封装器实行的反调试手艺作申明。

手艺剖析

样本文件是一个ISO映像,个中有一个现实为PE文件的bat文件,我们能够提取bat文件并将其扩展名替换为“exe”。

Hawkeye回避机制和反调试手艺剖析

图1:伪bat文件

Hash 32951a56e3fcd8f5b006c0b64ec694ddf722eba71e2093f7ee90f57856941f3d
要挟 Hawkey特务软件
扼要形貌 Visual Basic 封装器内的Hawkey特务软件
Ssdeep 12288:GVwYvwrMkE9LfRUXkpW7zGidwY/rwxOp8mH:COrI9zRUJfGCfzw0

表1:PE文件的信息

ISO文件的AV检出率较低,近年来应用ISO文件进击的手段也变得愈来愈盛行,只要从ISO中提掏出可实行文件才进步检出率:

Hawkeye回避机制和反调试手艺剖析

图2:ISO压缩文件(左)和提取文件(右)的AV检测

PE文件包括Visual Basic 5.0的存根,它能庇护歹意软件的中心并使剖析复杂化:

Hawkeye回避机制和反调试手艺剖析

图3:Visual Basic封装顺序

如上所示,歹意软件是用Visual Basic 5.0编写的,能够经由历程ad-hoc反编译器来处置惩罚。

Hawkeye回避机制和反调试手艺剖析

图4:VB代码反编译成p-code

反编译后的代码被殽杂过,想要猎取感染机制更多信息的唯一解决方案是调试顺序。

为了使剖析复杂化,进击者第一个技能是动态地建立一个新的内存段,经由历程“VirtualAlloc”函数向里注入一些代码。歹意软件对该段代码解码后,会挑选一个随机的新虚拟地点空间来分派内存,在本例中是“0x00260000”加载到了EAX寄存器中。

Hawkeye回避机制和反调试手艺剖析

图5:经由历程VirtualAlloc API分派内存

GetTickCount反调试手艺

在新分派的区域内切换上下文以后,歹意软件采纳“GetTickCount()”反调试手艺。依据MSDN文档,GetTickCount检索自系统启动以来经由的毫秒数,最多为49.7天。歹意行动者经由历程运用这个API挪用来检索历程实行的时候,假如凌驾预设的阈值,则歹意顺序停止实行:

Hawkeye回避机制和反调试手艺剖析

图6:GetTickCount例程一个新的地点空间

建立地点空间的第一个歹意操纵是挪用GetTickCount API,效果是: Hawkeye回避机制和反调试手艺剖析

图7:EAX寄存器中的GetTickCount效果

GetTickCount函数的效果存储在EAX寄存器中。歹意软件在完成其他解密操纵后会继承挪用它。

 Hawkeye回避机制和反调试手艺剖析

图8:GetTickCount的减法反调试技能

在第二次挪用GetTickCount以后,会马上将上图所示的两个值相减,并将其放在EAX寄存器中。下一条指令是EAX寄存器和预先设置的阈值“0x5DC”之间的比较,“0x5DC”是十进制示意的1500。依据Microsoft文档,GetTickCount函数的分辨率为10ms,因而我们能够推断出进击者的剖断阈值为15秒。在理解了这个技能以后,很轻易绕过它继承剖析样本。 Hawkeye回避机制和反调试手艺剖析

图9:运转有用负载的ShellExecute例程

歹意软件会分派另一个内存空间来编写带有MZ头的文件,并经由历程“ShellExecute”API函数翻开文件。此时,另一段隐藏在资本中的代码也涌现了,这段代码在反调试技能涌现之前并不存在:Hawkeye回避机制和反调试手艺剖析

图10:原始exe和自修正exe之间的资本比较

如上图所示,原始文件(左边)仅展现图标和清单作为资本,而自操纵文件则在“RCData”中展现了一个名为“__”的资本,它是加密的终究payload。

 Hawkeye回避机制和反调试手艺剖析

图11:歹意资本检索例程

为了庇护本身让剖析变得越发难题,歹意软件经由历程“CreateProcessInternalW”API挪用从新天生本身: Hawkeye回避机制和反调试手艺剖析

图12:终究payload的实行例程

如今,真正的payload已预备好运用自定义内部例程举行自解密。

 Hawkeye回避机制和反调试手艺剖析

图13:终究payload的解码例程

在解密例程以后,歹意软件经由历程“memcpy”函数将这段新代码复制到另一块内存中。另外,为了考证payload是不是准确提取,歹意软件会搜检存储器备用的前两个字节是不是为“0x5A4D”,即ASCII码中的“MZ”。

 Hawkeye回避机制和反调试手艺剖析

图14:考证终究payload的准确解码

转储文件后,真正的payload就展现了出来。

Payload

提取的payload是运用.NET C#言语编译的PE文件,个中包括以下静态信息:

Hash a3aa6e220591f05f4e2ecc4f4741ac6b6715ebb2b5c42c2b7bb52142c54be30b
要挟 Hawkey特务软件
扼要形貌 Hawkey特务软件殽杂payload
Ssdeep 6144:HuXT5iKKhhSHCMA2g22fB1YbcLetS7iz+K3hk:OXtxc/r1fXrwgil3h

表2:终究payload的静态信息

Payload运用了.NET Reactor东西举行隐约处置惩罚,但能够轻松恢复已消灭的版本:

 Hawkeye回避机制和反调试手艺剖析

图15:.NET Reactor殽杂器运用陈迹

终究payload的一些静态信息:

Hash a848c84a1306ea7cc4704eced4067db1012c0bf1b9b65f8c04a8379d71464eaa
要挟 Hawkey特务软件
扼要形貌 Hawkey特务软件payload
Ssdeep 6144:37iz+K3hkCAg3JhmkuEFZ+1WjsroyGh0DBabr:Lil3hdhmOF

表3:终究payload已消灭版本的静态信息

由于payload是用.NET框架编写的,能够调试代码以检索此新样本的一切详细信息。调试样本的历程让我们发明其属于歹意软件HawkEye。

 Hawkeye回避机制和反调试手艺剖析

图16:经由历程Rijndael算法的轮回字符串解密例程

每一个敏感信息、字符串或其他信息都是经由历程Rijndael算法加密的,如图16所示。在最先任何操纵之前,歹意软件会试图做一个简朴的回避手法——检索受害者机械的用户名,并将此用户名与一系列硬编码的用户名举行比较,这些用户名是沙箱采纳的典范用户名,假如个中一个用户名婚配,则申明多是在虚拟机中运转的。

 Hawkeye回避机制和反调试手艺剖析

收下这张小贴士,填补那些年在HQL注入留下的坑

前言 SQL注入是一种大家非常熟悉的攻击方式,目前网络上有大量存在注入漏洞的DBMS(如MySQL,Oracle,MSSQL等)。但是缺少针对hibernate查询语言的相关资源,以期本文能给在渗透测试时能给各位多提供一条路。 HQL查询并不直接发送给数据

图17:沙箱回避技能

简朴搜检后,信息盗取顺序最先实行其歹意操纵。第一个歹意操纵是持久性机制:

 Hawkeye回避机制和反调试手艺剖析

图18:持久性机制

持久性机制是经由历程用值“C:\Users\Admin\AppData\Roaming\MyApp\MyApp.exe”设置注册表项“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”来建立的,值之前已在此途径中复制了本身。但假如歹意软件是从原始封装器中启动的,它将在“MyApp”途径中复制全部可实行文件,由于payload作为线程在封装器历程中实行;相反,假如只实行终究payload,则只存储此部份。

 Hawkeye回避机制和反调试手艺剖析

图19:禁用使命管理器

歹意软件采纳了一种特别的自动庇护机制,经由历程设置图19中凸起展现的注册表项,来禁用Task Manager历程开启的能够。此时,歹意软件能够启动信息盗取顺序。 Hawkeye回避机制和反调试手艺剖析

图20:从Internet Explorer检索暗码的例程

信息盗取顺序会从多种浏览器中检索一切敏感数据和登录数据,以下图所示:

 Hawkeye回避机制和反调试手艺剖析

图21:歹意软件猎取的一部份浏览器列表

完全列表以下:

· Google Chrome

· Yandex

· Comodo Dragon

· Cool Novo

· Chromium

· Torch Browser

· 7Star

· Amigo

· Brave

· Cent Browser

· Chedot

· Coccoc

· Elements Browser

· Epic Privacy

· Kometa

· Orbitum

· Sputnik

· Uran

· Vivaldi

· UC Browser

· Flock Browser

一样,歹意软件也会寻觅其他效劳的凭据,如CoreFTP、FileZilla和JDownloader,以及受害者机械上的注册电子邮件帐户。搜刮的电子邮件客户端为:

· Outlook

· SeaMonkey

· Postbox

· Thunderbird

如今,我们想相识Microsoft Outlook上歹意软件是怎样网络暗码的。

Hawkeye回避机制和反调试手艺剖析

图22:存储Microsoft Outlook客户端用户设置的注册表项

歹意软件检索特定的注册表项:“HKCU \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows Messaging Subsystem \ Profiles \ Outlook”,该表项中包括Microsoft Outlook用户设置文件。

 Hawkeye回避机制和反调试手艺剖析

图23:Outlook暗码解密例程

图23中的要领“smethod_50”展现了怎样简朴地解密保存在该注册表项中的暗码:它检索字节数组并将其作为参数与CurrentUser DataProtectionScope一同用于NET框架中供应的静态要领——“ProtectedData.Unprotect()”。 以后,网络的信息将网络在列表中,随时能够发送到效劳器。

 Hawkeye回避机制和反调试手艺剖析

图24:建立网络的帐户列表

末了一项操纵是预备将信息发送给收件人。作为典范的HawkEye歹意软件,传输的通信协定是SMTP。因而,歹意软件须要运用.NET框架供应的API才实例化SMTP客户端。调试到准确的位置,歹意软件设置展现:

 Hawkeye回避机制和反调试手艺剖析

图25:SMTP客户端帐户设置

结论

Hawkeye如今是尽人皆知的要挟之一,之前已有文章剖析过其感染链,在本文中我们对Hawkeye 的回避机制和经由历程Visual Basic封装器实行的反调试手艺作了申明。

C2 (smtps):

[email protected]

us2[.outboind[.mailhostbox[.com

208.91.199.225

持久性机制:

注册表项设置 “HKCU\Software\Microsoft\Windows\CurrentVersion\Run”

Yara Rules

rule ISO_Dropper_HawkEye_201907 {
meta:
description = "Yara Rule for HawkEye ISO dropper"
author = "Cybaze - Yoroi ZLab"
last_updated = "2019-07-08"
tlp = "white"
category = "informational"
strings:
$s1 = "PowerISO" ascii wide
$s2 = "MSVBVM60.DLL" ascii wide
$h1 = {76 B6 45 77 B6 4C 7D B9}
condition:
all of them
}
 
rule Visual_Basic_Loader_HawkEye_201906 {
meta:
description = "Yara Rule for Visual Basic Loader and its payload (HawkEye)"
author = "Cybaze - Yoroi ZLab"
last_updated = "2019-07-08"
tlp = "white"
category = "informational"
strings:
$h1 = {52 94 5B C2 56 17 AB 6E 9D 6D F0}
$h2 = {13 41 63 ED 92 6B DF 6B 36 CD F8}
$s1 = "MSVBVM60.DLL" ascii wide
condition:
uint16(0) == 0x5A4D and all of them
}

原文地点: https://www.4hou.com/web/19379.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Hawkeye回避机制和反调试手艺剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址