Phân tích keylogger

Thảo luận trong 'Virus/Malware' bắt đầu bởi Malware, 20/01/15, 03:01 PM.

  1. Malware

    Malware Wh------

    Tham gia: 08/01/15, 11:01 AM
    Bài viết: 56
    Đã được thích: 38
    Điểm thành tích:
    48


    Trong bài viết này mình sẽ hướng dẫn phân tích mẫu keylogger, qua bài viết các bạn có thể nắm được thêm kỹ năng phân tích virus malware và cách xử lý chúng.

    Giới thiệu về keylogger:

    Keylogger là một chương trình máy tính được viết nhằm mục đích theo dõi và ghi lại các thao tác thực hiện trên bàn phím vào một tập tin nhật ký (log) để cho người cài đặt nó sử dụng.
    Để hiểu được cách thức hoạt động của keylogger, chúng ta sẽ sử dụng một mẫu keylogger thực tế.

    Cơ chế xâm nhập vào máy victim của mẫu:

    Mẫu Keylogger này là một file .dll được tạo ra trong quá trình ta cài đặt một ứng dụng giả mạo Abode Flash.

    Đây là kết quả nhận diện trên VirusTotal của mẫu sinh ra file keylogger này:
    [​IMG]
    [​IMG]
    Hình 1: Kết quả nhận diện trên VirusTotal của mẫu giả mạo AbodeFlash​


    Đây là kết quả nhận diên trên virusTotal của mẫu keylogger:

    [​IMG]
    Hình 2: kết quả nhận diện của mẫu keylogger trên VirusTotal

    Cơ chế hoạt động:

    Đây là mẫu malware thực hiện khá nhiều hành vi khác nhau, tuy nhiên trong khuôn khổ bài viết, mình chỉ đi phân tích hành vi keylogger của mẫu này.
    Cơ chế để ghi nhận trạng thái bàn phím:

    · Đăng ký cửa số để nhận windows massage.
    · Khi người dùng thực hiện thao tác với bàn phím thì sẽ có windows masage gửi về và hàm xử lý trong cửa số đã đăng ký sẽ thực hiện ghi lại phím mà người dùng đã thao tác và cửa sổ đang thao tác.
    · Sử dụng hàm GetKeyState() ghi nhận trạng thái bàn phím khi người dùng thao tác.
    · Thực hiện ghi Log vào file: %Appdata%MicrosoftWindowsRingTonesStart.wav

    Chi tiết các hành vi:

    Tạo file %Appdata%MicrosoftWindowsRingTonesStart.wav để ghi Log:
    [​IMG]

    [​IMG]


    Hình 3: Tạo File để ghi Log​



    Đăng ký cửa số để nhận windows massage:
    [​IMG]
    Hình 4: Đăng ký cửa sổ với hàm xử lý Funtion_Keylogger​
    Quá trình xử lý các massage:​

    [​IMG]
    Hình 5: Xử lý các windows massage​


    Lấy trạng thái bàn phím và ghi Log:

    [​IMG]
    [​IMG]


    Hình 6: Lấy trạng thái bàn phím và ghi Log​




    Trên đây là bài viết sơ lược về hành vi của một mẫu keylogger thực tế để mọi người có thể hình dung được cơ chế hoạt động của một keylogger điển hình. Từ đó có thể phát hiện và xử lý nếu gặp phải.
     
    Last edited by a moderator: 23/08/16, 03:08 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. anhnam

    anhnam W-------

    Tham gia: 24/11/13, 02:11 PM
    Bài viết: 16
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Phân tích keylogger

    Con keylog này được viết trên nền C/C++ ,nhưng hình như việc bắt phím của nó ko sử dụng kỹ thuật hook như thường lệ , bạn có thể nói rõ quá trình sử dụng IDA ,Ollydbg để RCe nó không
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. Malware

    Malware Wh------

    Tham gia: 08/01/15, 11:01 AM
    Bài viết: 56
    Đã được thích: 38
    Điểm thành tích:
    48
    Re: Phân tích keylogger

    Ý bạn muốn nói đến "SetWindowHook" :). Để keylogger thì có nhiều cách để keylogger. trong đó SetWindowHook là các đơn giản nhất.
    Còn kiểu keylogger trong bài viết. nó đăng ký 1 của sổ và nhận tất cả các sự kiện thao tác với bàn phím. Và gọi các hàm GetKeyState, GetKeyBoardState, GetKeyNameText... để lấy phím được thao tác.

    RCE thì mẫu này đơn giản chỉ cần dùng IDA là có thể phân tích được. Và hơn nữa mẫu này là mẫu đơn giản. không có pack hay trick anti gì cả nên rất đơn giản.
     
    Last edited by a moderator: 02/02/15, 09:02 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    wtf thích bài này.
  4. since2005

    since2005 W-------

    Tham gia: 09/01/15, 03:01 PM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Re: Phân tích keylogger

    Cám ơn bạn Malware, bạn có thể show code gốc hoặc file .dll lên đây để mọi người hiểu rõ hơn không :3
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. Malware

    Malware Wh------

    Tham gia: 08/01/15, 11:01 AM
    Bài viết: 56
    Đã được thích: 38
    Điểm thành tích:
    48
    Re: Phân tích keylogger

    Mình không có code chỉ có file mẫu. bạn có thể tải file mẫu ở link dưới.

    www.mediafire.com/download/3ak7b85v8qcjbl3/MS.EXCEL.12.7z

    Thông tin file:
    MD5: 502106E2FF8EFE32128C70035EE974C2
    SHA-1: 8443F1F93050DEEFCB818865C30EAF74BCFE9636

    Nếu không tải được file. Bạn có thể dựa vào thông tin file để tìm kiếm trên mạng.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. chlck3n

    chlck3n W-------

    Tham gia: 03/08/16, 11:08 AM
    Bài viết: 11
    Đã được thích: 9
    Điểm thành tích:
    8
    Một số link ảnh bị die rồi bạn Malware ơi. Bạn up lại được không?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. mover

    mover New Member

    Tham gia: 27/05/17, 12:05 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    upload_2017-5-27_12-57-47.png pass sau đây tiền bối?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,834
    Đã được thích: 860
    Điểm thành tích:
    113
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. d.v.phuc

    d.v.phuc Member

    Tham gia: 16/04/20, 08:04 AM
    Bài viết: 5
    Đã được thích: 1
    Điểm thành tích:
    3
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan