【お友達の解析】HawkEye Keylogger -2020/5/2

HawkEye Keyloggerの概要

またしても.NET malwareです。

というより、.NET malwareを選んでます。

HawkEyeはダークウェブで売られているiInfoStealer?keylogger?

外部情報より引用

ロゴまで作っちゃって、作者の思い入れが伝わります。

解析

まずはちらっと見てみると難読化されています。

de4dotをみても、判別できません。

困ったので、とりあえず動かしました。

自身を新しいプロセスで実行しているので、そこをdumpします。以下でいうと、PID:1528を作成するところを狙います。外部情報によると、vbc.exeはNirsoftのtoolを利用したモジュールらしい。

[CreateProcess] faye.exe:9000 > "%UserProfile%\Desktop\faye.exe"	[Child PID: 1528]
[CreateProcess] faye.exe:1528 > "%WinDir%\Microsoft.NET\Framework\v2.0.50727\vbc.exe /stext %LocalAppData%\Temp\tmp6781.tmp"	[Child PID: 8364]
[CreateProcess] faye.exe:1528 > "%WinDir%\Microsoft.NET\Framework\v2.0.50727\vbc.exe /stext %LocalAppData%\Temp\tmp59E0.tmp"	[Child PID: 2588]

dumpした状態を見ると、難読化toolはConfuserEx v1.0.0でした。つまり最初に見ていたのは難読化というよりpackされてた状態?ってことかな?

Reborn Stub.exeという名前のようです、Versionは9.0.0.4?

内部文字列を読むとHawkEye Keylogger – Reborn v9が正式名称のようです。

外部情報の画像と一致しました。

難読化を解除はこちらを参照して実施。

一気に可読文字が増えました。以下は、機能一覧と思われます。

このあたりはキーロガーのコードで書かれた文字列でしょうね。同じ畑の人ならピンとくると思います。

気になるのは、このRCDATAです。大事な情報であるのは間違いない。

下図の26行目でRCDATAを読み取り、33行目でデータを復号しています。

引数のstring_0は他から復号して持ってきた以下の値で、おそらく復号keyだと思います。

"0cd08c62-955c-4bdb-aa2b-a33280e3ddce"

復号する関数です。RijndaeってAESのことらしい。

暗号明るくないのですが、ここまで解っていれば、復号するコード書けそうですね。動かせているので、勿論書きませんが。w

で、無事に復号が終わりました。byte_がRCDATAで、byte_2が復号後のRCDATAです。

気になる中身はこちら!

やっぱりmalwareのconfigでした。versionは9.0.0.4ではなく、9.0.1.6でした。

C2の認証情報を取得できました。STARTTLSで盗んだ情報を持ち出すんでしょうね。

malware名にKeyloggerっ入ってますが、色々情報とれそうです。

疑似環境構築して実際に盗んだ情報をみたいですが、今日はここまで!

IOC

  • hxxp://mrtool[.]ir/wp-includes/faye[.]exe
  • d07804c2f30295f7ed20befb8a31e2bc
  • 5da68c445284c10212a3b99c5e9c6a7fca9c0772
  • 3f7f3871134432b6565c7e95a17a3480c1dcdd1ce575a3d10ad5003a889c933f
  • hxxps://a[.]pomf[.]cat/
  • hxxp://pomf[.]cat/upload[.]php
  • Reborn Stub.exe
  • mail[.]jsb[.]inK
  • dispatch@jsb[.]in

IOA

  • ping 1.1.1.1 -n 1 -w 1 > Nul & Del “{0}” & start “” “{1}.exe”
  • ping 1.1.1.1 -n 1 -w 1 > Nul & start “” “{1}.exe”
  • /C TASKKILL /F /IM wscript.exe
  • /C TASKKILL /F /IM cmd.exe

外部情報

https://gblogs.cisco.com/jp/2019/05/talos-hawkeye-reborn/

https://www.csirt.gov.sk/doc/hawkeye_public.pdf