HawkEye窃密木马最新变种分析报告

样本简介

HawkEye Keylogger是一款窃取信息的恶意软件，在地下黑客市场出售，此恶意软件曾在2016年的一次大规模网络攻击活动中被广泛使用，2018年Hawkeye的作者开始出售新版的HawkEye恶意软件，更新后的HawkEye被称为HawkEye Keylogger-Reborn v8

HawkEye Keylogger-Reborn v8已经不仅仅是一款普通的键盘记录器，新的变种集成了多个高级功能，同时Hawkeye在地下黑客市场宣传广告，并通过地下黑客论坛进行销售，作者在其网站上发布了HawkEye恶意程序的广告和使用教程，还雇佣了一些中介经销商分销此恶意软件，此前发现的HawkEye(v7)变种将主Payload程序加载到自己的进程中，新的变种HawkEye(v8)变种将恶意Payload注入到其它进程MSBuild.exe、RegAsm.exe、VBC.exe等，通过这些合法的进程执行恶意Payload代码

详细分析

1.样本使用NET语言进行编写，如下所示：

2.加载执行资源中的数据，如下所示：

3.从资源数据中提取出恶意程序，如下所示：

4.提取出来的程序，采用NET编写，如下所示：

5.外壳程序会调用资源程序中cor41函数，解密程序中的资源，跳转到入口点执行，如下所示：

6.解密程序BITMAP资源，解密之后的程序同样使用NET语言编写，如下所示：

样本使用混淆，去混淆之后，如下所示：

7.拷贝自身，创建计划任务自启动项，如下所示：

创建的计划任务，如下所示：

8.样本使用反沙箱，反虚拟机等技术，如下所示：

9.关闭Windows安全进程与实时保护功能，如下所示：

10.遍历进程，然后启动RegSvcs.exe进程，如下所示：

11.启动RegSvcs.exe进程之后，将解密出来的恶意代码注入到进程执行，如下所示：

12.将解密出来的恶意代码DUMP下来，该程序使用NET语言编写，Confuser混淆处理，如下所示：

13.去混淆之后，反编译显示为RebornX Stub如下所示：

解密出来的恶意代码为RebornX Stub版本的HawkEye最新变种，窃密受害者主机浏览器帐号和密码等相关信息

威胁情报

HASH

4C8EE42B6B347ECAD6A54C61C5CD909F

域名

ftp.valuelineadvisors.com

IP

103.21.58.156

声明：本文来自深信服千里目安全实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。