账单明细PPT暗藏玄机：HawkEye Keylogger木马分析

0x1概况

继前两周活跃的“商贸信”病毒之后，腾讯安全御见情报中心再次捕获一款针对外贸行业从业者的木马：HawkEye Keylogger。与上次相比，这次木马不再利用office漏洞CVE-2017-11882，而是利用PowerPoint“动作”特性进行攻击。一旦用户不慎点击下图ppt“启用”按钮，一款带有键盘记录器并能盗取邮箱、浏览器、比特币等帐号密码的木马就会下载到用户电脑上并运行起来。

（图1：打开ppt文件若出现以上画面，切勿点击“启用”）

通过样本编译时间以及木马服务器上的文件修改时间可以看出，该木马从2017年8月初开始活动，并且目前攻击活动仍在继续，据统计国内每天有数千个用户受到该攻击影响。

0x2传播方式

攻击者利用鱼叉式钓鱼邮件将带有恶意代码的ppsx文件发送到从网络等渠道收集来的邮箱地址。从邮件内容来看，主题和内文与“商贸信”钓鱼邮件相似，都带有“账单”、“订单”等诱导性字眼。

（图2：恶意邮件内容）

当用户双击或右键->打开方式->Microsoft PowerPoint打开此ppsx文件，该ppt会全屏显示，并弹出“Microsoft PowerPoint安全声明”窗口，从而诱导用户点击“启用”按钮，达到运行木马目的。

通过对收件人邮箱进行聚类分析，可以看到收件人主要从事外贸等相关行业。很多公司会将邮箱作为联系方式公布在网上，这也给不法分子提供了可乘之机。通过网上搜索，可以看到目前仍然有不少收件人邮箱暴露在公司网站的联系人栏目中。

（图3：暴露在联系人栏目中的邮箱）

0x3技术分析

（图4：木马运行流程图）

1.嵌入ppt中的恶意脚本

打开Microsoft PowerPoint程序，再通过“文件->打开”（注意不要点击“播放”打开ppt，提取出其中的动作，可发现一段带下载和运行功能的powershell脚本。

（图6：恶意脚本）

2.下载下来的payment111.exe行为分析

经分析发现木马名称为“HawkEye Keylogger”，早在2016年就已出现，并且网上也有不少此木马信息。木马启动后会对关键变量赋上加密的值，后续再解密使用。加密的字段有收信邮箱账号密码信息、收信邮箱服务器信息、收信ftp服务器及账号密码等。

（图7：加密的配置项）

木马还会将当前进程pid及路径分别写入%appdata%\pid.txt和%appdata%\pidloc.txt文件里

（图8：写pid和路径到指定文件）

（图9：解密配置项）

通过访问http://whatismyipaddress.com/获取出口ip

（图10：获取出口ip）

获取杀软及防火墙信息。

(图11：获取杀软信息)

最后开启相关的功能线程，会根据配置决定是将收集的信息发送给ftp服务器、php服务器还是email服务器，本木马配置的是将盗取的信息发送给邮箱服务器。

（图12：开启功能线程）

ServerInstall线程的作用是发送上线信息。

（图13：ServerInstall线程）

StartStealers线程的作用是盗取邮箱、浏览、比特币相关的密码。

（图14：StartStealers线程）

Minecraftsub线程的作用盗取“我的世界”游戏密码。

（图15：Minecraftsub线程）

Pins线程的作用盗取RuneScape 游戏的Bank Pins（个人安全凭证）。

（图16：Pins线程）

Disabler线程的作用是禁用任务管理器、禁用命令行、禁用msconfig、禁用注册表等。

（图17：Disabler线程）

根据“Disablelogger”选项决定是否开启键盘记录器。

（图18：是否开启键盘记录器）

（图19：设置低级键盘钩子的方式来记录按键）

SendLogsFTP线程、SendLogsPHP线程、SendLogs线程的作用是将记录的剪贴板信息、按键记录信息、截屏信息分别发给FTP服务器、php服务器、邮箱服务器。

（图20：SendLogsFTP线程）

（图21：SendLogsFTP线程中的截屏相关代码SendLogsPHP和SendLogs线程类似

根据bindfiles配置项，从内存释放并执行文件。

（图22：释放和运行文件）

根据downloadfiles配置项，利用url下载并执行文件。

（图23：下载和运行文件）

根据websitevisitor配置项，决定是否访问某网页。

（图24：访问网页）

根据“dontclearie”配置项，决定是否清ie cookie。

（图25：清ie cookie）

根据“dontclearff”配置项，决定是否清firefox cookie。

(图26：清firefox cookie)

根据“websiteblocker”配置项，利用改host方式，阻止访问网页。

（图27：阻止访问网页）

根据”Disablesteam”配置项，删除steam记住的密码，利用键盘记录器的功能，盗取密码。

（图28：强制steam，输入按键的方式进行登陆）

（图29：强制steam登陆的原理）

根据“Disablespreaders”配置项，实现u盘传播。

（图30：u盘传播）

盗取邮箱和浏览器保存的密码都是利用创建僵尸进程的方式，将资源中的pe文件写入僵尸进程并运行。

（图31：创建僵尸进程盗取邮箱密码）

（图32：创建僵尸进程盗取浏览器密码）

3.盗取浏览器密码的pe文件(wd.exe)简单分析

查看wd.exe文件的属性等信息，发现此pe文件带有正规的签名，查找“Nir Sofer”公司的信息，发现此公司主要开发一些密码恢复相关的工具。

（图33：wd.exe签名信息）

（图34：NirSoft公司相关信息）

（图35：wd.exe软件界面）

4.盗取邮箱密码的pe文件（mail.exe）简单分析

简单查看此pe文件中的明文字条串信息及其它信息，发现此工具也是“Nir Sofer”公司开发的工具。该pe文件pdb路径为”f:\Projects\VS2005\mailpv\Release\mailpv.pdb“

（图36：明文字符串信息）

（图37：mail.exe软件界面）

0x4溯源分析

对木马服务器域名进行反查，可以得到域名注册者的电话及Email信息，再以Email为线索进行反查得到了与此email相关的域名。对这些域名进行分析发现至发稿时间仍有部分域名处于活动状态。此外，腾讯安全御见情报中心在同一时间捕获到一款通过钓鱼邮件传播的盗号木马，该木马使用odimma.info域名，并且其木马服务器后台架构及域名注册邮箱都与本文提及的木马相同，推测两起事件为同一攻击者所为。

（图38：uwaoma.info域名相关的信息）

（图40：存活着的域名umunna.info）

（图41：存活着的域名uwaoma.info）

(图42：存活着的域名odimma.info)

0x5安全建议

腾讯电脑管家安全专家建议用户特别警惕来历不明的邮件，勿随意点开其中的附件，保持腾讯电脑管家的正常开启，可有效拦截此类病毒攻击。

附录：IOC

1. Email:

2. C2

umunna.info

odimma.info

ababia.info

bestluck1.com

egobiawa.com

egobiawa.info

egodiya.com

egoigwe.com

egomma1.com

goodmoney9.info

imobia.info

zacagroup.com

3. 可执行文件

DDB427F71A9E0A91572F679EF7E0447F

6F74FB553924C4D46E7FAA0273E40255

170F9CEB90BD46B838EBBDED622C7932

19A742EE2F1806CD81B1D4E444D20656

80E33B3A6BF17E7B207859F90E78436A