网络流量威胁-密码窃取发送邮件PCAP分析

1、利用邮件通道发送窃取信息

通过发送邮件的方式把窃取的信息发送给黑客,通过发送电子邮件的方式把入侵主机信息告诉攻击者,有一些木马文件干脆把主机所有的密码用邮件的形式通知给攻击者,这样攻击都就不用直接连接攻击主机即可获得一些重要数据,如攻击OICQ密码的GOP木马即是如此。

2、MassLogger恶意软件分析

MassLogger键盘记录器和间谍软件通过MalSpam附件分发,附件为存档文件或者文档文件,存档文件提取后有.NET masslogger有效负载,而文档文件包含VBA宏和漏洞利用程序(CVE-2017-11882),可从远程服务器下载MassLogger有效负载。该恶意软件比其他现有键盘记录器工具具有更多功能,例如应用程序数据窃取、键盘记录、Windows Defender排除、截图、通过USB传播、剪贴板窃取、VM检测等


3、MassLogger PCAP分析

MassLogger恶意文件85e27cebd7913295c869a36b090a4bfa的网络数据包85e27cebd7913295c869a36b090a4bfa.pcap进行分析

通过SMTP协议发送邮件,邮件服务器域名bh-58.webhostbox.net

发送邮箱nwamalog@binatones.ml

SMTP登陆发送邮件

窃取的信息包括版本、User name、Country、OS、Windows Serial Key、AV、CPU、GPU、Process、NordVPN、Outlook、QQ Browser、Chromium Recovery、FoxMail、Keylogger And Clipboard 相关信息。

详细的发送信息

<|| v3.0.7563.31381 ||>=0D=0AUser Name: admin=0D=0AIP: 159.148.1=

86.185=0D=0ACountry: US=0D=0AWindows OS: Microsoft Windows 7 Prof=

essional  32bit=0D=0AWindows Serial Key: BBBBB-BBBBB-BBBBB-BBBBB-=

BBBBB=0D=0ACPU: Intel(R) Core(TM) i5-6400 CPU @ 2.70GHz=0D=0AGPU:=

Standard VGA Graphics Adapter=0D=0AAV: NA=0D=0AScreen Resolution=

: 1280x720=0D=0ACurrent Time: 11/1/2020 4:07:04 AM=0D=0AStarted: =

11/1/2020 4:07:02 AM=0D=0AInterval: 1 hour=0D=0AProcess: C:\Users=

\admin\AppData\Local\Temp\Saudi Shipment.exe=0D=0AMelt: false=0D=0A=

Exit after delivery: false=0D=0AAs Administrator: False=0D=0AProc=

esses:=0D=0A=0D=0A=0D=0A<|| WD Exclusion ||>=0D=0ADisabled=0D=0A=0D=0A=

<|| Binder ||>=0D=0ADisabled=0D=0A=0D=0A<|| Downloader ||>=0D=0AD=

isabled=0D=0A=0D=0A<|| Bot Killer ||>=0D=0ADisabled=0D=0A=0D=0A<|=

| Pidgin ||>=0D=0ANot Installed=0D=0A=0D=0A<|| FileZilla ||>=0D=0A=

Not Installed=0D=0A=0D=0A<|| Discord Tokken ||>=0D=0ANot Installe=

d=0D=0A=0D=0A<|| NordVPN ||>=0D=0ANot Installed=0D=0A=0D=0A<|| Ou=

tlook ||>=0D=0A=0A=0A=0ASMTP Server: 192.168.1.1=0APOP3 Server: 1=

92.168.1.1=0AEmail: honey@pot.com=0APOP3 User: honey@pot.com=0APO=

P3 Password: honeypass356=0A=0A=0D=0A=0D=0A<|| FoxMail ||>=0D=0AN=

ot Installed=0D=0A=0D=0A<|| Thunderbird ||>=0D=0ANot Installed=0D=0A=

=0D=0A<|| FireFox ||>=0D=0AUrl: https://m.facebook.com=0D=0AUsern=

ame: honey@pot.com=0D=0APassword: honeypass356=0D=0AApplication: =

Firefox=0D=0A=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=

=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=0D=0A=0D=0A=0D=0A<|| QQ Browser=

||>=0D=0ANot Installed=0D=0A=0D=0A<|| Chromium Recovery ||>=0D=0A=

Url: https://m.facebook.com/=0D=0AUsername: honey@pot.com=0D=0APa=

ssword: honeypass356=0D=0AApplication: Chrome=0D=0A=3D=3D=3D=3D=3D=

=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=

=3D=3D=0D=0A=0D=0A=0D=0A<|| Keylogger And Clipboard ||>=0D=0ANA=0D=0A=

=0D=0A

窃取信息


参考 

https://fr3d.hk/blog/masslogger-frankenstein-s-creation

https://cert-agid.gov.it/wp-content/uploads/2020/06/CERT-AGID_MassLogger-20200609.pdf

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。