Phân tích Keylogger (đơn giản)

Đầu tiên, tôi xin nói trước là bài này ở mức cơ bản đề một người dùng có kiến thức không cần chuyên môn về RCE cũng có thể phân tích được một keylogger và phòng chống, cũng như “hack” lại chủ nhân của keylogger đó.

Dữ liệu trong bài viết này (hình ảnh, file text) là tôi lấy lại trên server của con keylogeer khi mà tôi phân tích thành công. Bởi vì chẳng ai rảnh mà đang tìm, phân tích keylogger lại còn chụp ảnh lại để làm bài viết phân tích cả.

—————

ngày 28/03/2014, tôi có nhận được một tin nhắn của một người bạn trong TP.HCM nhờ Rờ E giúp cậu ấy một con malware mà ban đầu được phỏng đoản là keylogger. Chủ quan và một phần tin tưởng, tôi download về và mở lên mà không một chút nghi ngờ. Mà trước đó vài ngày, một lỗi 0-day của Winrar đã được phát hiện mà công bố với lỗ hổng bảo mật mà nhờ vào đó có thể giả mạo mã độc. Các bạn có thể tham khảo bài viết của tôi về vấn đề này tại: ĐÂY Thêm vào nữa, trước đó vài phút, tôi đã tắt Avast đi để “test mã độc” cho một anh bạn khác. Không ngờ trong lúc tắt firewall bảo vệ mình, mà tôi bị dính keylogger (Trước toàn tự viết keylogger – tự build – mà vẫn bật Avast như thường :D ). Cũng một phần là do cảm giác thấy nghi ngờ. Bắt đầu luôn. (Trong bài chưa dùng những kỹ thuật phân tích Virus nhiều, bài viết dành cho những người ít hiểu biết về RCE).

Kiểm tra process tôi có được, một tiến trình rất lạ và khả nghi. Có biểu tượng giống như IDM. Mở process XP lên, hay Task Manager cũng được. Tôi tìm được vị trí lưu tệp tin khi thực thi. :)

Hoàng Cường - MSEC
sử dụng process xp để tìm vị trí của đối tượng
hoàng cường MSEC
hoàng cường MSEC

Như vậy là đã tìm được vị trí nó Install file vào đó. Để chắc chắn nó là keylogger, tôi load nó vào IDA.

Trong hình này, tôi có sử dụng cả PE Explorer để Seach String.

Hoàng Cường - MSEC
load vào IDA và PEExplorer

Hiện ra trong hình là hoàng loạt các hàm API của windows, một đặc trưng của Keylogger (Gethandle, WritetoFile, MakeaFile,…). Như vậy, là tôi chắc chắn đây là một keylogger.

Kiểm tra bằng PE Studio xem sao.
Screen_2014-03-25_22-28-14

Kết quả đã quá rõ ràng,file mà tôi nhận được là một biến thể của keylogger.
Giờ tìm dữ liệu của nó đã. Vì máy tôi cài đặt UAC (User Access Controller) ở mức cao nhất, thế nên tôi đoán là keylogger này sẽ không lưu dữ liệu tại những nơi không thể lưu được, mà phải là ở một số thư mục được tác động vào. Kiểm tra thư mục chứa keylogger thì hiện ra.

Screen_2014-03-25_22-44-16

Trời, nó lưu hết ở đây. Đến lúc này, vẫn chưa tắt mạng, cứ kệ để cho nó gửi dữ liệu đi.

Nếu là keylogger thì nó phải gửi dữ liệu về chủ nhân thông qua Email hoặc FTP. Mà Email thì dùng giao thức SMTP hoặc POP3 để gửi. nếu là POP3 còn có hy vọng, chứ SMTP mà dùng SSL thì khó đây. còn FTP thì dễ ẹc, rồi cứ thử FTP xem sao đã.
Screen_2014-03-25_23-16-19

Download Passsniffer về. Chạy được 2 phút thì nó ra kết quả. :) *Hên xui* Trong hình không có pass bởi vì không phải mình chụp :v mà là…. con keylogger chụp.

Giờ có pass mà tài khoản FTP của nó rồi, loggin vào hosting của nó xem có gì nào.

Screen_2014-03-25_23-25-20

hí hí. Có đầy đủ dữ liệu luôn, không những có của mình mà còn của 1 số victim khác. Xóa đi cho bõ tức ;))
——————-
hình ảnh dữ liệu của nó.
Tổng kết:

tổng kết về con keyloger vừa rồi.
0. Được viết = Visual C++ 8.0.
1. Khai thác lỗi phần mềm winrar để cài đặt virus lên máy nạn nhân.
2. virus chia làm 2 modul lưu trữ. tại
– C:\Users\username\Documents\MSDCSC\msdcsc.exe
– C:\ProgramData\AMNEYV\EXJ.exe
3. Chức năng chính của chương trình: Ghi lại các thao tác bàn phím, ghi lại ảnh chụp màn hình, ghi lại hình chụp webcame.
4. Lưu trữ dữ liệu tạm tại:
– C:\ProgramData\IDM\
– C:\ProgramData\IDmk\
5. Gửi về host của chủ nhân qua giao thức ftp.
————-
ưu điểm: vượt qua được Avast Premier 2014 – bản quyền.
nhược điểm:
– chưa biết địa chỉ IP nào là của nạn nhân.
– chưa ăn cắp dữ liệu gì quan trọng.
– chưa ẩn processer.
-chưa thoát được các debuger. @@”
—————————————-
Mẫu virus cho các bạn nếu cần:

Link: https://www.dropbox.com/s/a1hfbknyugjwmef/Phan%20tich%20keylogger%20%28khong%20chay%20file%20ben%20trong%29.rar
pass: infected

Mình chưa dùng tới kỹ thuật gì phức tạp cả, nhưng vẫn giải quyết được con keylogger. Nhiều khi, không cần phải mang đao mổ trâu ra giết ruồi phải không ;)

Advertisements

2 thoughts on “Phân tích Keylogger (đơn giản)”

  1. Anh có thể chỉ dậy em về cái này dc không ạ. em mới vào học cntt. 1 tháng rồi máy trong trường chổ của e không sao. tự nhiên tháng này em bị mất fb,account này nọ. nên phát hiện máy mà em ngồi ở trường bị keylog. em đã dùng sniffpass mà explore mà không thấy. em biết người làm do vài câu chữ để lại trên fb của em. nhưng em không chứng minh dc. em muốn tóm dc email hay gì đó để làm bằng chứng cho giáo viên cũng như để giáo viên khắc phục trên máy em ạ

  2. thanks 1 cái lấy tinh thần xem những bài hay kế tiếp, chúc sức khỏe để bạn cống hiến những bài viết chất lượng.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s