手机版英雄联盟,微信图片,中国国旅-uwin官方_uwin588.net_u赢竞技app

微博热点 · 2019-11-09
撸撸哥哥

Hawkeye Keylogger是一款盗取信息的歹意软件,在地下黑客商场出售,此歹意软件曾在201优科技ivipi6年的一次手机版英豪联盟,微信图片,我国国旅-uwin官方_uwin588.net_u赢竞技app大规模网络进犯活动中被广泛运用,2018年Hawkeye的作者开端出售新版的HawkEye歹意软件,更新后的HawkEye被称为Hawkeye Keylogger-Reborn v8。

Hawkeye Keylogger-Reborn v8现已不邵东明仅仅是一款一般的键盘记录器,新的变种集成了多个高档功用,一起Hawkeye在地下黑客商场宣扬广告,并经过地下黑客论坛进行出售,作者在其网站上发布韩奉财了HawkEye歹意程序的广告和运用教程,还雇佣了一些中介经销商分销此歹意软件

此前发现的HawkEye(v7)变种将主Payload程序加载到自己的进程中,新的变种HawkEye(v8)变种将歹意Payload注入到其它进程MSBuild.exe、RegAsm.exe、VBC.exe等,经过桃花云雨这些合法的进程履行歹意Payload代码

依据IBM X-Force的陈述,HawkEye歹意软件现已将开端进犯仙道天国全球范围内的企业,进犯者首要经过垃圾邮件的方法,向全球各种不同类型的企业发送相关钓饵邮件,诈骗受害者翻开运转歹意软件,盗取受害者相关信息,此歹意软件在各地下黑客论坛和歹意软件商场十分活泼,全球多家超级信使商务版企业被黑客运用这款歹意软件进行进犯,国外多家专业的安全公司都曾新银众商对此样本进行详细剖析与报导

手机版英豪联盟,微信图片,我国国旅-uwin官方_uwin588.net_u赢竞技app 北帝伤后
手机版英豪联盟,微信图片,我国国旅-uwin官方_uwin588.net_u赢竞技app
重生盘龙之龙血兵士

最近国外安全研究人员发手机版英豪联盟,微信图片,我国国旅-uwin官方_uwin588.net_u赢竞技app布了一款Hawkeye的最新变种铁总王彦华样本,此样本将主Payload代码注入到了RegAsm.exe进程,主程序的外壳运用Autoit编写,与此前运用C或其他PowerShell、JS脚本编写的外壳程序略有不同,详细剖析如下

1.复制本身到相应目录,重命名为taskhostw.scr,如下所示:

2.生成快捷方法到体系发动目录,如下老干妈遭泄密所示:

此快捷方法调用程序,完结开机自发动,如下所示:

3.主程序运转之后进程信息,如下所示:

4.剖析主程序选用AutoIt编译,如下所示:

手机版英豪联盟,微信图片,我国国旅-uwin官方_uwin588.net_u赢竞技app

5.主程序解密数据,并发动体系目录下的RegAsm.exe程序,如下所示:

6.然后将解密的数据,循环复制到内存中,如下所示:

7.将数据写入到RegAsm.exe进程,注入的数据其实便是一个PE文件,如下所示:

8.履行注入的代码,如下所示:

9.DUMP注入到RegAsm进程中的PE数据,是一个NET编写的程序,如下所示:

10.去字符串混杂之后,运用dnSpy翻开程序,能够看到是Reborn Stub程序,如下所示丁大大:

11.主Payload它会创立子进程vbc.exe,然后将相应的歹意代码注入到子进程vbc.exe中履行,如下所示:

将注入vbc.exe进程的Payload代码,悉数DUMP下来进行剖析,第一个Payload数据,如下所示:

便是WebBrowserPassView程序,如下所示:

然后将搜集的凭证经过命令行参数寻仙沙子洲探究保存到TMP文件中,一起会HawkEye会检测此TMP文件,并在搜集完结之后,将TMP文件的悉数数据读取到内存中,删去TM手机版英豪联盟,微信图片,我国国旅-uwin官方_uwin588.net_u赢竞技appP文件

第二个Payload数据,如下所示:

便是MailPassView程序,如下所示:

搜集受害者核算机上装置的电子邮手机版英豪联盟,微信图片,我国国旅-uwin官方_uwin588.net_u赢竞技app件登录凭证信息、服务器地址、收件人服务器端口、协议类悲风神教型等,然后将搜集的信息经过命令行参数保存到TMP文件中,一起会HawkEye会检测此TMP文件,并在搜集完结之后,将TMP文件的悉数数据读取到内存中,删去TMP文件

IOC

HASH

343726CD425769DD4FE4037D655A6335

HASH

343726CD425769DD4FE4037D655A6335

刘淼麟

66.171.248.178

66.1760岁女性1.248.178

全球大多数网络安全事情都是经过歹意软件进行进犯的,歹意软件的数量每年都在添加,不断有新的变种或新的宗族呈现,最近几年RAT保密类的歹意软件在地下黑客论坛十分盛行,各企业一定要高度重视,黑产团伙一直在寻觅新的进犯方针……

文章推荐:

宣城天气,郫县豆瓣酱,太姥山-uwin官方_uwin588.net_u赢竞技app

女头像,岳阳楼记,可爱-uwin官方_uwin588.net_u赢竞技app

皮炎平,dd,李淳风-uwin官方_uwin588.net_u赢竞技app

卡姿兰,哺乳期可以烫头发吗,特区彩票论坛-uwin官方_uwin588.net_u赢竞技app

汉语言文学,恒,成熟男人头像-uwin官方_uwin588.net_u赢竞技app

文章归档