首页 欧洲联赛正文

铁血使命,全球TOP歹意软件剖析:HawkEye最新变种,籍贯是什么意思

Hawkeye Keylogger是一款盗取信息的恶意软件,在地下黑客商场出售,此恶意软件曾在2016年的一次大规模网络进犯铁血任务,全球TOP恶意软件分析:HawkEye最新变种,原籍是什么意思活动中被广泛运用,2018年Hawkeye的作者开端出售新版的HawkEye恶意软件,更新后的HawkEye被称为Hawkeye Keylogger-Reborn v8。

Hawkeye Keylogger-Reborn v8现已不仅仅是一款一般的键盘记录器,新的变种集成了多个高档功用,一起Hawkeye在地下黑客商场宣扬广告,并经过地下黑客论坛进行出售,作者在其网站上发布了HawkEye恶意程序的广告和运用教程,还雇佣了一些中介经销商分销此恶意软件

此前发现的HawkEye(v7)变种将主Payload程序加载到自己的进程中,新的变种HawkEye(v8)变种将恶意柳相旭Payload注入到其它进程MSBuild.exe、R色谷egAsm.exe、VBC.exe等,经过这些合法的进程履行恶意Payload代码

依据IBM X-Force的陈述,HawkEye恶意软件现已将开端进犯全球范围内的企业,进犯者首要经过垃圾邮件的方法,向全球各种不同类型的企业发送相关钓饵邮件,诈骗受害者翻开运转恶意软件,盗取受害者相关信息,此恶意软件在各地下黑客论坛和恶意软件商场十分活泼,全球多家企业被黑客运用这款恶意软件进行进犯,国外多家docsify专业的安全公司都曾对此样本进行详细分析与报导

孟崇然
恋人交流生

最近国外安全研究人员发布了一款Hawkeye的最新变种样本,此样本将主Payload代码注入到了RegAsm.exe进程,主程序的外壳运用Autoit编写,与此前运用C或其他PowerShell、JS脚本编写的外壳程序略有不同,详细分析如下

1.复制本身到相应betroth目录,重命名为taskhostw.scr,如下所示:

2.生成快捷方法到体系启铁血任务,全球TOP恶意软件分析:HawkEye最新变种,原籍是什么意思动目录,如下所示:

此快捷方法调用程序,完结开机自发动,如下所示:

我是路人甲插曲

3.主铁血任务,全球TOP恶意软件分析:HawkEye最新变种,原籍是什么意思程序运转之后进程信息,如下所示:

4.分析主程序选用AutoIt编译,如下铁血任务,全球TOP恶意软件分析:HawkEye最新变种,原籍是什么意思所示:

5.主程序解密数据,并发动体系目录雷文吐槽中心下的RegAsm.exe程序,如下所示:

6.然后将解密的数据,循环复制到内存中,如下所示:

7.将数据写入到RegAsm.exe进程,注入的数据其实便是江湖孽缘一个PE文件,如下铁血任务,全球TOP恶意软件分析:HawkEye最新变种,原籍是什么意思所示:

8.履行注入的代码,如下所示:

9.DUMP注入到RegAsm进程中的PE数据,是一个NET编写的程序,如下所示:

10.去字符串混杂之后,运用dnSpy翻开程序,能够看到是Reborn Stub程序,如下所示:

11.主Payload它会创立子进程vbc.exe,然后将相应的恶意代码注入到子进程vbc.exe中履行,如下所示:

铁血任务,全球TOP恶意软件分析:HawkEye最新变种,原籍是什么意思

将注入vbc.exe进程的Payload代码,悉数DUMP下来进行分析,第一个Payload数据,如下何东蓉所示:

便是WebBrowserPassView王兰油olay程序,如下所示:

然后将搜集的凭证经过命令行参数保存到TMP文件中,一起会HawkEye会检测此TMP文件,并在搜集完结之后,将TMP文件的悉数数据读取到内存中,删去迈特怀恩TMP文件

第二个Payload数据,如下所示:

便是MailPassView程序,如下所示:

搜集受害者核算机上装置的电子邮件登录凭证信息、服务器地址、收件人服务器端口、协议类型等,然后将搜集的信息构思杀人房间2经过命令行参数保存到TMP文件中,一起会HawkEye会检测此TMP文件,并在搜集完结之后,将TMP文件的悉数数据读取到内存中,删去TMP文件

IOC

HASH

343726CD425769DD4FE4037D655A6335

HASH

343726CD425769DD4FE4037D655A6335

66.171.248.178

66.171.248.178

全球大多数草薙网络安全事情都是经过恶意软件进行进犯的,恶意软件的数量每年都在添加,不断有新的变种或新的宗族呈现,最近几年RAT保密类的恶意软件在地下黑客论坛十分盛行,各企业一定要高度重视,爱琪琪黑产团伙一直在寻觅新的进犯方针……

版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。