피싱 이메일을 통한 사이버 공격이 증가하고 있으며, 일반적으로 공격자는 DOC 내장 매크로를 사용하여 피해자의 컴퓨터에 침투합니다. 최근 Quick Heal Security Labs는 Microsoft의 방정식 편집기 취약점을 악용하여 Hawkeye 키로거를 유포하는 피싱 이메일 샘플을 발견했습니다.
사이버 범죄자들은 다양한 기법을 사용하여 기밀 데이터를 훔칩니다. 이제 그들은 목적을 달성하기 위해 고급 악성코드를 제공하고 있습니다. 그렇기 때문에 저희는 여전히 활발하게 진화하는 새로운 위협을 관찰하고 있습니다. Hawkeye는 키로거 계열에 속합니다. 최신 Hawkeye v8은 Microsoft Office 수식 편집기 취약점 CVE-2017-11882를 이용하여 침투합니다. 또한 이 익스플로잇에 대한 자세한 블로그 게시물을 게시했으며, 여기에서 확인하실 수 있습니다. 여기에서 확인하세요.이 익스플로잇은 바이러스 백신 제품의 탐지를 피하기 위해 새로운 기법을 사용합니다. 실행 중에 코드를 컴파일하고, 디스크에 쓰지 않고 메모리에 페이로드를 로드합니다.
실행 흐름:
공격 분석:
버퍼 오버플로 취약점은 Equation Native 객체의 "FONT" 레코드에 존재합니다. 이 취약점을 악용하려면 OLE 객체가 Equation Native 객체를 호출해야 하며, 이를 위해 OLE 파일에 Equation Native 스트림을 포함해야 합니다.
다음 두 가지 유형을 사용하여 수행할 수 있습니다.
- “Equation Native” 스트림을 사용합니다.
- 사용 CLSID "Equation Native" 스트림의.
이 경우에는 다음을 사용합니다. CLSID "Equation Native" 스트림 대신.
OLE 객체를 "Equation Native" 스트림으로 구문 분석하기 위해 "OLE10native" 스트림을 사용합니다.
다음은 "OLE10native" 스트림의 최소 헤더입니다.
| DWORD | 방정식 객체의 크기(MTEF 헤더 + MTEF 데이터) |
OLE 실행 후 파일 수식 편집기가 호출되어 레코드 구문 분석을 시작합니다. 먼저 MTEF 헤더와 TYPESIZE 헤더를 구문 분석하고, 다음으로 FONT 레코드 구문 분석을 시작합니다. 이 경우, FONT 레코드 내용 버퍼로 인해 오버플로가 발생합니다.
다음 그림은 Equation Native 객체에 의해 구문 분석되는 OLE10Native 스트림의 구조를 보여줍니다.
이 취약점을 악용하면 셸코드가 실행되고 최종적으로 CNC 서버에서 악성 페이로드가 다운로드됩니다.
셸코드는 Urlmon.dll에 있는 "URLDownloadToFileW" API를 사용하여 URL에 연결하여 악성코드를 다운로드하고, 이를 실행하여 악성 활동을 수행합니다. 저희의 경우, 키로깅 활동을 수행하고 SMTP 서버를 통해 데이터를 전송하는 Hawkeye 키로거라는 악성코드를 발견했습니다.
탑재량 분석:
최신 Hawkeye 키로거는 3단계 실행 방식을 사용합니다. 컨테이너에서 시작하여 Hawkeye 페이로드를 주입하는 로더를 실행합니다. Regasm.exe 그런 다음 브라우저, Outlook, 일부 FTP 파일 관리자에 저장된 키 입력과 자격 증명을 캡처하여 SMTP 프로토콜을 통해 전송합니다.
첫 번째 단계에서는 악성코드 파일에 텍스트 형식으로 존재하는 암호화된 C# 코드를 복호화하여 메모리에 컴파일합니다. 그 후, 메모리에 존재하는 컴파일된 코드를 악성코드가 실행합니다. 다음 코드는 .NET 프레임워크 유틸리티를 사용하여 코드를 컴파일하고 메모리에서 실행하는 데 사용됩니다. 코드는 텍스트 형식이며 런타임에 컴파일되므로, 페이로드 크기를 줄이고 바이러스 백신 프로그램에서 숨길 수 있습니다.
CSharpCodeProvider는 .NET 컴파일러의 유틸리티에 액세스하는 데 사용됩니다. csc.exe 코드를 동적으로 컴파일하는 데 사용됩니다. 이러한 코드를 물리적 복사본 없이 메모리에서 실행하기 위해 컴파일러 옵션(그림 5 참조)을 제공합니다. "GenerateExecutable"을 false로 지정하면 클래스 라이브러리가 생성됩니다. "true"로 지정하면 실행 파일이 생성됩니다. "GenerateInMemory"의 경우, "false"로 지정하면 어셈블리의 물리적 복사본이 %temp%/randomname.exe에 저장됩니다. "GenerateInMemory"가 true이면 어셈블리의 물리적 복사본이 보조 디스크에 저장되지 않습니다. 그런 다음, compilerResults.CompiledAssembly.EntryPoint.Invoke(null, null);를 사용하여 진입점에서 코드를 실행합니다.
두 번째 단계에서 로더는 리소스에서 Hawkeye reborn stub을 해독하고 이를 주입합니다. RegAsm.exeRegasm.exe는 어셈블리를 등록하거나 등록 해제하는 데 사용되는 .NET 어셈블리 등록 도구입니다. 이 맬웨어는 리플렉션(즉, 멤버를 호출합니다 메서드) regasm.exe가 실행되고, hawkeye 페이로드가 regasm.exe에 매개변수로 전달됩니다. 그러면 이 페이로드가 Regasm.exe의 자식 프로세스로 실행됩니다. 그림 6에서 Text4는 regasm.exe의 경로이고, hXYyylN6()은 페이로드의 복호화된 바이트 배열을 반환합니다.
마지막 단계에서는 로더에 의해 최종 페이로드가 실행됩니다. RegAsm.exe(Microsoft .NET Framework의 합법적인 유틸리티입니다.) 정품 Microsoft 애플리케이션처럼 보이지만 실제로는 Hawkeye 키로거입니다. 페이로드는 ConfuserEx 1.0을 사용하여 난독화되어 있습니다. 일다즘을 억제하다재부팅 후 맬웨어를 실행하려면 실행 항목을 생성합니다.
Hawkeye의 최신 버전에는 다음과 같은 다양한 기능이 포함되어 있습니다.
- 사용자 키 입력과 클립보드 내용을 캡처합니다.
- FTP, 메일 자격 증명을 복사합니다.
- 디버깅 방지를 위해 다음을 사용합니다. 일다즘을 억제하다 그리고 ConfuserEx 1.0.
- Wireshark와 같은 바이러스 백신 및 도구를 비활성화하려면 해당 애플리케이션의 이미지 파일 실행에 키 디버거와 값 rundll32를 추가합니다.
- "와 같은 정품 도구를 사용하세요.메일패스뷰”및“브라우저 패스뷰” 비밀번호 도용에 대한.
- 또한, 파일을 복구하는 데 사용되는 rstrui.exe를 비활성화합니다.
- Thread.sleep()과 같은 샌드박스 방지 기술을 사용하여 실행을 지연시킵니다.
- base64 암호화를 사용하여 CNC 서버로 데이터를 전송합니다.
- 코드는 csc.exe를 사용하여 사용자 측에서 컴파일됩니다.C 샤프 컴파일러)
- 모든 디렉토리에서 “.Oeaccount” 확장자 파일을 검색합니다.
- CurrentVersion\\Policies\\System에 레지스트리를 추가하여 작업 관리자, 명령 프롬프트 및 레지스트리를 비활성화합니다.
- cmd.exe와 Wscript.exe를 죽입니다.
- 다음을 사용하여 바이러스 백신 및 방화벽 제품 세부 정보를 감지합니다. WMI 질문.
Hawkeye Keylogger의 작동 방식:
Keylogger가 실행되면 먼저 사용자 유형을 확인한 다음 호스트 이름, BIOS, 바이러스 백신, 방화벽 제품 세부 정보와 같은 정보를 수집하여 모든 정보를 "SUNDA[@]doctorework[.]com”. 바이러스 백신 제품 세부 정보를 감지하려면 다음을 사용합니다. WMI C#의 ManagermentObjectSearcher 클래스를 사용하여 쿼리합니다.
서버와의 데이터 전송을 위한 SMTP 연결을 생성합니다. us2[.]아웃바운드[.]mailhostbox[.]com, 모든 키보드 입력, 클립보드 및 시스템 정보를 base64로 암호화하여 전송합니다.
또한, 그것을 사용합니다 폼프[.]캣 HTTP POST 요청을 사용하여 스크린샷을 저장하는 웹사이트입니다. 여기에는 Nirsoft의 메일패스뷰 브라우저 패스뷰 리소스 디렉토리에서. 사용하여 메일패스뷰 Outlook에서 저장된 자격 증명을 가져오고 다음을 사용합니다. 브라우저패스뷰 브라우저에서 저장된 자격 증명을 복사한 다음 SMTP 연결을 통해 사용자 자격 증명을 전송합니다.
여기에는 바이러스 백신 및 Windows Defender, Wireshark, rstrui.exe와 같은 프로그램 목록이 포함되어 있습니다. 이 프로그램은 실행이 차단되어 있으며, 이를 위해 레지스트리를 추가합니다.
“HKLM\\SOFTWARE\\MICROSOFT\\WINDOWS NT\\CurrentVersion\\이미지 파일 실행 옵션\\Program_name.exe\\”
키 이름: 디버거 값: rundll32.exe
또한 cmd.exe, wscript.exe를 죽이고 Hosts 파일을 수정합니다.
Rstrui.exe는 해당 유틸리티를 비활성화하여 피해자가 복원 지점으로 복원하는 것을 방지하여 파일을 복원하는 유틸리티입니다.
실행 중인 애플리케이션 이름에 "WPE PRO", "The Wireshark Network Analyzer"가 포함되어 있는지 확인하고, "SbieDll.dll"이 실행 중이면 실행을 종료합니다. 샌드박스 방지 기법의 경우, sleep 명령을 사용합니다.
Hawkeye 키로거는 입력된 모든 키를 기록하므로 기밀 데이터 보안에 해로울 수 있습니다.
결론 :
새로운 디지털 트렌드가 등장하면서 데이터의 중요성이 더욱 커지고 있으며, 공격자는 이를 훔치기 위해 키로거 악성코드를 사용합니다. 바이러스 백신 제품의 탐지를 피하기 위해 키로거는 단순한 코드에서 고급 회피 기법을 갖춘 관리형 MSIL 코드로 진화하고 있습니다. 악성코드 제작자는 사회 공학적 기법을 사용하고 일부 익스플로잇 코드를 사용하여 피해자의 컴퓨터에 침투합니다. 이러한 유형의 공격으로부터 보호하려면 사용자는 Microsoft 애플리케이션과 바이러스 백신 제품을 업데이트해야 합니다. Quick Heal은 고급 탐지 메커니즘을 통해 이러한 공격을 여러 단계로 차단합니다.
Detection System:
Quick Heal은 호크아이 키로거에 대한 다중 레벨 보호 기능을 제공합니다.
PDF 파일은 감지를 통해 감지되었습니다: PDF.다운로더.31377
호크아이는 탐지에 의해 감지됩니다: 트로이 목마 랜섬, Pwstool.Netpass Trojan.IGENERIC
국제오씨오(IOC):
PDF: 5F9227210036BB64F71E9A5E25115A39
DOC: 5191234DBE697D3A79400FD89DEE3BBD
SUND: 78787470C46A45BE5AF5AE5DC2BF6EB9
도메인: hxxp[:]//fbsleads[.]com/assets/SSUUNDS[.]exe
메일 아이디: 순다[@]닥터워크닷컴
메일 서버: us2[.]outbound[.]mailhostbox[.]com
주제 전문가:
Aniruddha Dolas, Vallabh Chole, Pradeep Kulkarni | 퀵힐 보안 랩스
