HawkEye Keyloggerの概要
またしても.NET malwareです。
というより、.NET malwareを選んでます。
HawkEyeはダークウェブで売られているiInfoStealer?keylogger?
ロゴまで作っちゃって、作者の思い入れが伝わります。
解析
まずはちらっと見てみると難読化されています。
de4dotをみても、判別できません。
困ったので、とりあえず動かしました。
自身を新しいプロセスで実行しているので、そこをdumpします。以下でいうと、PID:1528を作成するところを狙います。外部情報によると、vbc.exeはNirsoftのtoolを利用したモジュールらしい。
[CreateProcess] faye.exe:9000 > "%UserProfile%\Desktop\faye.exe" [Child PID: 1528] [CreateProcess] faye.exe:1528 > "%WinDir%\Microsoft.NET\Framework\v2.0.50727\vbc.exe /stext %LocalAppData%\Temp\tmp6781.tmp" [Child PID: 8364] [CreateProcess] faye.exe:1528 > "%WinDir%\Microsoft.NET\Framework\v2.0.50727\vbc.exe /stext %LocalAppData%\Temp\tmp59E0.tmp" [Child PID: 2588]
dumpした状態を見ると、難読化toolはConfuserEx v1.0.0でした。つまり最初に見ていたのは難読化というよりpackされてた状態?ってことかな?
Reborn Stub.exeという名前のようです、Versionは9.0.0.4?
内部文字列を読むとHawkEye Keylogger – Reborn v9が正式名称のようです。
外部情報の画像と一致しました。
難読化を解除はこちらを参照して実施。
一気に可読文字が増えました。以下は、機能一覧と思われます。
このあたりはキーロガーのコードで書かれた文字列でしょうね。同じ畑の人ならピンとくると思います。
気になるのは、このRCDATAです。大事な情報であるのは間違いない。
下図の26行目でRCDATAを読み取り、33行目でデータを復号しています。
引数のstring_0は他から復号して持ってきた以下の値で、おそらく復号keyだと思います。
"0cd08c62-955c-4bdb-aa2b-a33280e3ddce"
復号する関数です。RijndaeってAESのことらしい。
暗号明るくないのですが、ここまで解っていれば、復号するコード書けそうですね。動かせているので、勿論書きませんが。w
で、無事に復号が終わりました。byte_がRCDATAで、byte_2が復号後のRCDATAです。
気になる中身はこちら!
やっぱりmalwareのconfigでした。versionは9.0.0.4ではなく、9.0.1.6でした。
C2の認証情報を取得できました。STARTTLSで盗んだ情報を持ち出すんでしょうね。
malware名にKeyloggerっ入ってますが、色々情報とれそうです。
疑似環境構築して実際に盗んだ情報をみたいですが、今日はここまで!
IOC
- hxxp://mrtool[.]ir/wp-includes/faye[.]exe
- d07804c2f30295f7ed20befb8a31e2bc
- 5da68c445284c10212a3b99c5e9c6a7fca9c0772
- 3f7f3871134432b6565c7e95a17a3480c1dcdd1ce575a3d10ad5003a889c933f
- hxxps://a[.]pomf[.]cat/
- hxxp://pomf[.]cat/upload[.]php
- Reborn Stub.exe
- mail[.]jsb[.]inK
- dispatch@jsb[.]in
IOA
- ping 1.1.1.1 -n 1 -w 1 > Nul & Del “{0}” & start “” “{1}.exe”
- ping 1.1.1.1 -n 1 -w 1 > Nul & start “” “{1}.exe”
- /C TASKKILL /F /IM wscript.exe
- /C TASKKILL /F /IM cmd.exe