155期报告汇总
安天发布《LokiBot 样本分析报告》
安天捕风团队捕获到一批 LokiBot 样 本。经过深入分析,得出了原始 LokiBot 样本已被修改的结论。目前,发现此变种 病毒被售卖于黑市,并且在多个恶意活动 中被利用。LokiBot 像许多恶意软件一样, 通过恶意电子邮件进行分发。这些钓鱼邮 件没有固定的攻击模式,但它们的行为方 式类似,均是诱使受害者下载压缩包文件 或者 MS office 文件的恶意样本附件,最 终从附件中提取、利用宏命令或漏洞下载 LokiBot 样本。
LokiBot 的攻击流程图是线性的,且 攻击目的在于信息窃取。一旦它进入受感 染的设备并安装成功,就会在受感染设备 中收集用户已安装的各个应用中的凭证信 息。LokiBot 对于不同的应用模块使用不 同的入侵方式,当其收集齐所有所需材料 后,会通过 HTTP 协议将它们压缩在数据包中发送给 C & C 服务器。
LokiBot 在受感染的设备中拥有永久 权限,此权限可以使攻击者创建、修改注 册表项,并且也可以将自身以指定的命名 形式复制到 %APPDATA% 下的指定文件 夹中,同时创建一个用于解析 C & C 服务 器响应的新线程以等待新命令。每台被感 染的设备都有唯一的标识符(bot ID), 可作为互斥锁使用(互斥锁的作用为避免 重复感染机器,提高感染效率)。
在分析的大多数变种样本中都有 5 个 远控 url,这些 url 会接收被窃取的数据 信息,并且会向被感染设备中的恶意代 码样本发去新的指令,其中 4 个 url 用了 3 重 DES 算法进行保护,第 5 个 url 仅使 用了简单的 XOR 保护。然而 LokiBot 使 用 CryptDecrypt Windows API 函数解密受 3DES 算法保护的数据时,受 3DES 加密保护的解密网址被覆盖,只返回受 XOR 保 护 的 url 的 字 符 串, 实 际 上 LokiBot 在 调 用 CryptDecrypt 函数之后跳转到一个名为 “x”部分的开头。该部分具有可写权限, 受 XOR 保护的 url 和负责解密该 url 的代 码均位于“x”部分,这种行为就像功能指 令的跳转一样,像是有第三个人手动修改 了代码,使 url 实现自定义远控修改。
目前,最新且分发最多的样本是 LokiBot v.1.8 的 变 种 版 本。 变 种 版 本 LokiBot 的代码相比 LokiBot 的原始代码, 添加了“x”部分,实现了使用 XOR 保护 的 url 用做控制面板网址的方法,增强了 真实 url 地址的隐蔽性。安天提醒广大互 联网用户不要轻易打开未知的 URL 和邮 件,设备需安装杀毒、防毒软件并及时升 级系统和修补设备漏洞。
