Phân tích keylogger

[Malware]

​

Trong bài viết này mình sẽ hướng dẫn phân tích mẫu keylogger, qua bài viết các bạn có thể nắm được thêm kỹ năng phân tích virus malware và cách xử lý chúng.

Giới thiệu về keylogger:

Keylogger là một chương trình máy tính được viết nhằm mục đích theo dõi và ghi lại các thao tác thực hiện trên bàn phím vào một tập tin nhật ký (log) để cho người cài đặt nó sử dụng.
Để hiểu được cách thức hoạt động của keylogger, chúng ta sẽ sử dụng một mẫu keylogger thực tế.

Cơ chế xâm nhập vào máy victim của mẫu:

Mẫu Keylogger này là một file .dll được tạo ra trong quá trình ta cài đặt một ứng dụng giả mạo Abode Flash.

Đây là kết quả nhận diện trên VirusTotal của mẫu sinh ra file keylogger này:

Hình 1: Kết quả nhận diện trên VirusTotal của mẫu giả mạo AbodeFlash​

Đây là kết quả nhận diên trên virusTotal của mẫu keylogger:

Hình 2: kết quả nhận diện của mẫu keylogger trên VirusTotal
​

Cơ chế hoạt động:

Đây là mẫu malware thực hiện khá nhiều hành vi khác nhau, tuy nhiên trong khuôn khổ bài viết, mình chỉ đi phân tích hành vi keylogger của mẫu này.
Cơ chế để ghi nhận trạng thái bàn phím:

· Đăng ký cửa số để nhận windows massage.
· Khi người dùng thực hiện thao tác với bàn phím thì sẽ có windows masage gửi về và hàm xử lý trong cửa số đã đăng ký sẽ thực hiện ghi lại phím mà người dùng đã thao tác và cửa sổ đang thao tác.
· Sử dụng hàm GetKeyState() ghi nhận trạng thái bàn phím khi người dùng thao tác.
· Thực hiện ghi Log vào file: %Appdata%MicrosoftWindowsRingTonesStart.wav

Chi tiết các hành vi:

Tạo file %Appdata%MicrosoftWindowsRingTonesStart.wav để ghi Log:

​

Hình 3: Tạo File để ghi Log​

Đăng ký cửa số để nhận windows massage:

Hình 4: Đăng ký cửa sổ với hàm xử lý Funtion_Keylogger​

Quá trình xử lý các massage:​

​

Hình 5: Xử lý các windows massage​

Lấy trạng thái bàn phím và ghi Log:

​

​

Hình 6: Lấy trạng thái bàn phím và ghi Log​

Trên đây là bài viết sơ lược về hành vi của một mẫu keylogger thực tế để mọi người có thể hình dung được cơ chế hoạt động của một keylogger điển hình. Từ đó có thể phát hiện và xử lý nếu gặp phải.

 

Re: Phân tích keylogger

Con keylog này được viết trên nền C/C++ ,nhưng hình như việc bắt phím của nó ko sử dụng kỹ thuật hook như thường lệ , bạn có thể nói rõ quá trình sử dụng IDA ,Ollydbg để RCe nó không

 

Re: Phân tích keylogger

Ý bạn muốn nói đến "SetWindowHook" . Để keylogger thì có nhiều cách để keylogger. trong đó SetWindowHook là các đơn giản nhất.
Còn kiểu keylogger trong bài viết. nó đăng ký 1 của sổ và nhận tất cả các sự kiện thao tác với bàn phím. Và gọi các hàm GetKeyState, GetKeyBoardState, GetKeyNameText... để lấy phím được thao tác.

RCE thì mẫu này đơn giản chỉ cần dùng IDA là có thể phân tích được. Và hơn nữa mẫu này là mẫu đơn giản. không có pack hay trick anti gì cả nên rất đơn giản.

 

Re: Phân tích keylogger

Cám ơn bạn Malware, bạn có thể show code gốc hoặc file .dll lên đây để mọi người hiểu rõ hơn không :3

 

Re: Phân tích keylogger

Mình không có code chỉ có file mẫu. bạn có thể tải file mẫu ở link dưới.

www.mediafire.com/download/3ak7b85v8qcjbl3/MS.EXCEL.12.7z

Thông tin file:
MD5: 502106E2FF8EFE32128C70035EE974C2
SHA-1: 8443F1F93050DEEFCB818865C30EAF74BCFE9636

Nếu không tải được file. Bạn có thể dựa vào thông tin file để tìm kiếm trên mạng.

 

Một số link ảnh bị die rồi bạn Malware ơi. Bạn up lại được không?

 

pass sau đây tiền bối?

 

Check từ md5 ra nó là mẫu này: https://malwr.com/analysis/NzIyM2I2Zjk0N2UwNDdhYzhkYmU0MjkwYjY1OWZjNWE/

Lưu ý demo trên máy ảo cho an toàn bạn nhé.

 

www.mediafire.com/download/3ak7b85v8qcjbl3/MS.EXCEL.12.7z chủ post cho em xin cái pass để giải nén với ạ. em cảm ơn ạ !