逆向破解黑客恶意邮件攻击

原标题：逆向破解黑客恶意邮件攻击

面对恶意邮件攻击，我们就只能默默忍受被他攻击，连自我保护能力都没有谈什么反抗？让人痛快的是，如今有了解决办法，逆向破解键盘记录器，进入攻击者邮箱。

案例：

洛杉矶县首席执行官办公室发布新闻稿证实称，黑客入侵事件发生于2016年 5 月 13 日，一名尼日利亚黑客有针对性地向政府工作人员发动钓鱼邮件攻击。结果，共计108 名员工点击了邮件并提供了用户名和密码。由于职责需要，他们的账户存有机密客户、病人的个人信息。

这一切要从一次恶意邮件攻击活动开始。下图为我们最近监测到的一个以恶意文件为发送附件的邮件攻击，请注意邮件信息中的英语写作水平是多么差劲，其实，这也是恶意邮件的一个特点，还请收件人提高警惕。

邮件样本

在这封邮件中其附件以“.doc”文件扩展名结尾，但其实这是一个RTF（中国黑客协会）格式文件，文件被嵌入了一个精心构造的cve-2010-3333漏洞利用脚本，漏洞产生原因为微软office文件格式转换器在处理RTF文件“pfragments”参数属性时存在栈缓冲区溢出，远程攻击者可以借助特制的RTF数据执行任意代码，该漏洞又名”RTF栈缓冲区溢出漏洞”，但微软官方已在5年前就已修复了漏洞。

Windows环境下

邮件服务器自带动态屏蔽类似的功能，定义连接过来失败的次数屏蔽设定的时间，但是这个请求其实也已经连接了服务器，并且进行了会话，攻击者的IP，真是要 多少有多少，这个比较难以防范，当然了，还有一些防火墙，也可以达到这个需求，比如服务器安全狗。但是最终连接的过程中，始终都会连接到服务上面，然后再 处理。大大的增加了服务器的负载量。浪费了一定的资源。黑客攻防书经典书 网络黑白 某宝有。

请点击此处输入图片描述

被加密混淆的RTF文件

在上图中你可以看到，漏洞利用代码中的shellcode字段被模糊变形以避免杀毒软件的检测，在经过代码提取、清理和解密之后，我确定了漏洞利用代码的shellcode将会从一个未知域名volafile.io下载并执行某些文件。

请点击此处输入图片描述

shellcode 的16进制字符串

漏洞攻击负载

请点击此处输入图片描述

下载的可执行文件

请点击此处输入图片描述

Hawkeye 键盘记录的主体

通过GOOGLE搜索技巧，最终我找到了开发该Keylogger软件的网站，在网站上，他们声称并列出了所有“HawkEyekeylogger”具备的“牛X的功能”。

HawkEye Keylogger 功能列表

在我的动态分析中发现，该Keylogger在一个名为%appdata%的文件夹下释放自身副本，启动一个名为windowsupdate.exe的程序为运行进程，并设置进程启动信息为随机自启动，实现与系统同时启动。

如果仅仅是防止25端口被攻击，防止暴力猜测用户密码。在linux平台上，有fail2ban这个软件可以做到根据maillog日志中的错误信息，来通过iptables拦截相应的对端IP地址一段时间。

如果上升到反垃圾、反病毒、防攻击的高度上来，就需要架设邮件网关，server2008放在这个邮件网关后面。一般有软硬两种途径：

硬件方式：购买反垃圾反病毒邮件网关或者带有反垃圾反病毒类型的下一代防火墙。国内几个做安全的厂商都有邮件网关之类的产品。

这种方式好处，就是免维护，只要购买了相应的特征库更新服务，就基本上不用管理。每天看看拦截队列就可以了。

软件方式：通过postfix架设一个邮件网关，配合fail2ban、dspamd等反垃圾反病毒套件自己搭建一个邮件网关。通过fail2ban来保护25端口。

学习黑客技术书 网络黑白，提高网络安全技术，黑客攻防入门到精通。

声明：本网转发此文章，旨在为读者提供更多信息资讯，所涉内容不构成投资、消费建议。文章事实如有疑问，请与有关方核实，文章观点非本网观点，仅供读者参考。