Skilte keylogger kode ad og fandt frem til bagmands mail

Illustration: Virrage Images/Bigstock
En sikkerhedsforsker har splittet keyloggeren Hawkeye ad og fik adgang til fremmedes indbakker og afslørede en administrator-mail bag keyloggeren.

Rodel Mendrez, it-sikkerhedsforsker fra firmaet Trustwave, har skilt en kommerciel keylogger kaldet Hawkeye ad.

Det vil sige, han har reverse-engineered programmet og knækket kodede konfigurationsoplysninger i softwaren.

Mendrez har skrevet et blogindlæg om sine bedrifter, som blandt andet The Register har bemærket.

I indlægget fortæller Mendrez, hvordan han fik fat i en vedhæftet fil fra en spamkampagne.

Filen så ud til at være af doc-format, men var faktisk en RTF-fil. Den indeholdt et exploit til en sårbarhed i Microsoft Word RTF parser. Sårbarheden var dog patched for længst.

Exploit-koden var obfuskeret for at undgå detektion af anti-virus. Mendrez fik ryddet op i koden og fandt frem til, at koden ville forsøge at downloade og eksekvere en fil. Nærmere bestemt en fil af typen Microsoft .NET Win32.

Ved at lave et hexdump af filen fandt Mendrez frem til, at der var tale om keyloggeren Hawkeye. Googling ledte videre til virksomheden bag den kommercielle keylogger. På virksomhedens website blev der reklameret med programmets 'awesome features'.

Det vil blandt andet sige keylogger-funktionalitet og kopiering af indhold fra udklipsholderen på det inficerede system.

Ved at scanne netværkstrafikken kunne Mendrez konstatere SMTP-kommunikation fra et inficeret system til en mailadresse.

Ifølge Mendrez kan kommunikationen blandt andet indeholde den interne ip-adresse, den eksterne ip-adresse, .Net-frameworket som er installeret, hvilket operativsystem der er installeret, versionen af operativsystemet, hvilket browser der er sat til standard etc.

Open source decompiler

Med open source-decompileren ILSpy fik Mendrez forvandlet den kompilerede .Net-kode til læsbar kildekode.

Her kunne Madrez så ved selvsyn se, hvordan nogle af programmets 'awesome features' var implementeret.

Sikkerhedsforskeren fandt i den forbindelse også frem til en C#-konstruktør kaldet Form1().
Kontruktøren viste sig at indeholde keylogger-softwarens konfigurationsoplysninger.

De lå godt nok i krypteret format, men metoderne til dekryptering var også tilgængelige i den decompilerede kode, så Mendrez kunne relativt let finde frem til de oprindelige data.

I configurations-oplysningerne fandt Mendrez brugernavn og password til mail og ftp.

Han loggede ind via mail-oplysningerne og fik adgang til en konto, som var sat op til at videresende indgående mails til det, Mendrez kalder for angriberens mail.

I sin konklusionen skriver sikkerhedsforskeren, at angriberen formentlig har vidst, at keyloggeren let kunne knækkes. Og for at beskytte egne mail-oplysninger, er en anden konto blevet hijacked og brugt til at videresende opsamlede info til angriberens rigtige mail.

»Vi har rapporteret de kompromitterede mail-konti til de rette ejere, så de kan ændre deres passwords og fjerne angriberens mail-adresse fra deres indstillinger til videresendelse,« skriver Mendrez i sin detaljerede gennemgang, der kan læses i sin fulde længde her.

The Register bemærker iøvrigt, at sitet bag den 35-dollar dyre keyloggersoftware, hawkeyeproducts.com, nu er dødt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Mads Jakobsen

Undskyld. Der er da intet i artiklen der kan lede til konklusionen: at slette Windows gør dig sikker. Alle styresystemer har sårbarheder også selv om nogle systemer har bedre sikkerhedsmodeller end andre. En mere logisk konklusion for mig er at man ikke skal åbne filer fra folk man ikke kender, og det er jo egentlig et ret kendt råd til folk på nettet.

  • 6
  • 0
#5 David Christensen

Da .NET også kører på andre operativsystemer, er det sandsynlig at keyloggeren også kører på Linux.

Nok næppe, kammerat. Jeg tvivler på, at Mono (eller .NET core-tingen fra Microsoft) har krogene så langt inde i andre styresystemer. Særligt fordi rå keyboard-input håndteres forskelligt af forskellige styresystemer (og fx på Linux afhængigt af om man bruger X11 eller Wayland, osv.). Og jeg har til dato ikke set et System.EasyKeyLogger-namespace :-)

Det er trods alt derfor (styresystemspecifikke features), at forholdsvis Windows-specifikke .NET-applikationer rent faktisk, well, ikke virker på Mono, med mindre de er skrevet specifikt til det...

  • 1
  • 0
#7 David Christensen

...og derfor findes det ikke?

Hold da op, der er en der er i godt humør.

Nej, det kan naturligvis godt være, det findes. Min pointe var mere, at jeg ikke har set en metode til at lave keylogging via .NET som ikke involverer import af + native invocation i User32.dll og lignende, som ikke ligefrem er et .NET assembly...

Men du er velkommen til at udvide min horisont - såfremt du har set det?

  • 0
  • 0
#8 Esben Madsen

Suk... jaja, windows sutter pænt meget røv på mange måder (derfor jeg kun benytter det på arbejdscomputeren hvor det er påduttet - det kommer sgu ikke på nogle af mine egne maskiner), men noget så simpelt som en keylogger er ikke svært at lave på langt de fleste systemer - heller ikke uden admin/root... engang for en del år siden skrev jeg dette indlæg her på siden... Fælles for stort set alle systemer er at hvis først man får en bruger til at køre noget kode, så er man langt nok inde til at skabe problemer... Linux har rigtig mange styrker, men når det kommer til malware er der stadig ikke meget der beskytter mod dumme brugere - den klart største linux-fordel her er de centrale pakkesystemer frem for download og kørsel af filer fra tilfældige hjemmesider...

  • 1
  • 0
Log ind eller Opret konto for at kommentere