某Keylogger分析

基本信息

报告名称：某Keylogger分析

报告更新日期：2013/06/25
  样本发现日期：未知
  样本类型：键盘记录
  样本文件大小：1587712 字节
  样本文件MD5 校验值：56263331B8A63334C467B43538E5873C
  样本文件SHA1 校验值：74479FDE18AD3CD31E84F3DAF5555FE9EFEFB9D9
  壳信息：无壳
  可能受到威胁的系统：Windows
  相关漏洞：无

简介

Keylogger.exe是一个键盘记录程序，用于记录用户输入的信息并保存到文件

被感染系统及网络症状

1> 进程中出现debugsrv.exe进程

2> %SystemRoot%下出现r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]文件夹

3> 注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下出现名叫MSWDebugServer的键值

文件系统变化

创建目录：

%SystemRoot%\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]

创建文件：

%SystemRoot%\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]\debugsrv.exe
%SystemRoot%\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]\debugsrv.exe_bug.log

注册表变化

在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建键值MSWDebugServer

网络症状

无

详细分析／功能介绍

样本Keylogger.exe为载体，被运行后，会进行如下操作：

1> 查找进程中是否存在debugsrv.exe进程，存在则将其终止

2> 在%SystemRoot%下创建目录r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]并将其属性设置为隐藏

3> 在%SystemRoot%\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]下创建文件debugsrv.exe并从自身资源中获取数据并将其写入到文件

4> 运行debugsrv.exe

5> 创建进程install.ceo并等待其结束

样本debugsrv.exe为键盘记录主体，被运行后，会进行如下操作：

1> 创建一个名叫MSCDBGSV1的自动事件内核对象，用于防止进程多开

2> 创建一个互斥量内核对象，用于线程同步

3> 在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建键值MSWDebugServer = "debugsrv.exe的完整路径"，用于启动启动后自动启动

4> 创建线程，线程主要用于获取剪贴板的数据，获取数据后并打开debugsrv.exe_bug.log文件，不存在则创建，将获取的剪贴板数据加密后(原始数据加上0xA)写入文件

5> 安装全局键盘钩子,用于截获用户输入加密(原始数据加上0xA)后并写入文件debugsrv.exe_bug.log

预防及修复措施

手动修复：

1> 结束进程debugsrv.exe

2> 删除%SystemRoot%\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]目录及目录中的文件

3> 删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下键值MSWDebugServer

技术热点及总结

程序通过载体Keylogger.exe在自身资源中获得主体的二进制数据，并将其写入到磁盘创建的文件中，然后主体debugsrv.exe通过全局键盘钩子与一个线程分别获取用户输入与剪贴板数据解密后写入到debugsrv.exe_bug.log文件中

记录文件解密代码:

// Test.cpp : 定义控制台应用程序的入口点。
//#include "stdafx.h"
#include <stdlib.h>
#include <windows.h>int _tmain(int argc, _TCHAR* argv[])
{FILE *lpFile = _tfopen(TEXT("debugsrv.exe_bug.log"), TEXT("r"));if (NULL == lpFile)_tprintf(TEXT("File open failure!\r\n"));TCHAR lpBuffer[1024];while (1){_fgetts(lpBuffer, _countof(lpBuffer), lpFile);for (int nIndex = 0; nIndex < _tcslen(lpBuffer); nIndex++)lpBuffer[nIndex] -= 0xa;_fputts(lpBuffer, stdout);if (feof(lpFile))break;}fclose(lpFile);return 0;
}

下载样本及idb(密码：virus):

http://pan.baidu.com/share/link?shareid=1537250711&uk=4012944288

某Keylogger分析相关推荐

java能盗号吗_CVE-2017-8759漏洞新利用：Java Keylogger盗号木马分析
0×2 木马行为分析 1. 恶意word文档行为分析该恶意word文件中除了一个"链接对象"外,没有其它任何内容.在未修复CVE-2017-8759漏洞的机器上双击打开此word ...
CSS keylogger：攻击与防御
前言前阵子在 Hacker News 上面看到这篇:Show HN: A CSS Keylogger,大开眼界,决定要找个时间好好来研究一下,并且写一篇文章分享给大家. 这篇会讲到以下东西: 什麽是 ...
[译] APT分析报告：03.OpBlueRaven揭露APT组织Fin7/Carbanak（上）Tirion恶意软件
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助.前文分享了钓鱼邮件网址混淆URL逃避检测,这篇文章将介绍APT组织 ...
全系统动态污点分析-概要
全系统污点分析需要完成以下几点: 1. 标记某个来自I/O device的数据为污点 2. 可以监视全系统的执行,知道哪一块代码在传播了污点数据.要实现这一点,需要基于qemu. Qemu的动态翻译系 ...
续：Windows Vista操作系统最新安全特性分析：改进和局限 (下)
4. 权限保护 4.1用户帐号控制(User Account Control) 背景.在以往的Windows系统上,绝大多数用户都是以管理员(Admin)权限登录.这是因为太多的操作,如应用程 ...
[原创+总结]防火墙常见日志分析
先申明本文不是什么技术文章,心情开朗就随便写写整理下(偶补考过了,高兴ing) 两年没用防火墙了(只做测试用),昨天装了个天网,感受下!以最常见的天网防火墙为例,一般日志分为三行,第一行反映了数据包的 ...
全球关键信息基础设施网络安全分析报告
声明本文是学习360 全球关键信息基础设施网络安全分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们第三章针对关键信息基础设施的 APT 攻击关键信息基础设施历来 ...
如何逆向破解HawkEye keylogger键盘记录器，进入攻击者邮箱？
这一切要从一次恶意邮件攻击活动开始.下图为我们最近监测到的一个以恶意文件为发送附件的邮件攻击,请注意邮件信息中的英语写作水平是多么差劲,其实,这也是恶意邮件的一个特点,还请收件人提高警惕. 邮件样本 ...
日志流量分析之ftp传输过程分析
文章目录思路总结日志文件分析第一步获取数据包,并使用wirshark打开第二步分析告警日志信息,确实是通过ftp传输进入第三步通过过来ftp的协议,查看数据包第四步通过过来规则,进 ...

某Keylogger分析

某Keylogger分析相关推荐

最新文章

热门文章