歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

LokiBot用隱寫術隱藏蹤跡

來源:本站整理 作者:佚名 時間:2019-12-06 TAG: 我要投稿

LokiBot首次出現是作為信息竊取器和keylogger,隨著這些年的發展,LokiBot不斷加入了一些新的功能。該惡意軟件的最新活動表明它濫用Windows Installer進行安裝,并引入含有惡意ISO文件附件的垃圾郵件的新傳播方法。研究人員對該LokiBot變種進行分析發現它更新了駐留機制,并使用隱寫術來隱藏惡意代碼。

圖 1. 含有LokiBot附件的垃圾郵件樣本示例
分析
郵件樣本
郵件樣本中有多個元素。第一個也就最明顯的就是sender name和郵件簽名不匹配,表明這可能是一個惡意消息。第二個是sense of urgency:郵件的發送時間是7月1日,但郵件內容告知接收者訂購的產品會在7月中旬送到。也就是說向接受者灌輸一種急迫感,讓接收者盡快打開附件。最后,郵件的IP地址37[.]49[.]230[.]149也表明是惡意的。
附件New Order July .DOC中有兩個嵌入式對象:
· 一個是Microsoft Excel 97-2003 工作表
· 一個是標記為package.json的package
執行后,文檔會立刻顯示一個Excel工作表,然后執行潛入在工作表中的VBS宏代碼。具體步驟如下:

圖 2. Lokibot感染鏈
根據郵件header可以看出郵件應該是新創建的,而不是轉發或回復消息。也沒有信息表明現有的郵件賬號被黑了。因為IP地址和發送者域名不對應,因此應該是發送者偽裝成一個合法的賬號。
Trend Micro安全產品檢測到的垃圾郵件的主題有:
· PO #201 API documents attached (Dye and colour sample)
· PO #2789 Approved documents
· RE RE new ORDER #37789 (MT) 230KG
· RE RE new ORDER #37789 249 CBM
· RE RE new ORDER (COA) 230KG
這表明攻擊者使用了相對通用的郵件標題,而不是根據社會工程技術生成的針對性的表單。
圖片文件中隱藏的代碼
研究人員通過VirusTotal發現了多個類似的樣本,提交的時間在6月24日到7月5日。研究人員分析發現惡意軟件樣本的文件名是不同的,但看不出來什么規律:
· exe / bpxssh.jpg
· exe / sittey.jpg
· exe / jkcgjj.jpg
研究人員發現LokiBot變種通過含有惡意RTF文件附件的垃圾郵件進行傳播。RTF文件中含有嵌入的Excel OLE對象,使用Windows Management Instrumentation (WMI)和PowerShell來下載和執行惡意軟件。

圖 3. VirusTotal中含有LokiBot附件的郵件樣本
安裝過程中,LokiBot變種會將自己安裝為%Temp%\[filename].exe和%temp%\[filename].jpg。圖像文件的一個特征是可以以圖片格式打開。但其中仍然含有LokiBot在解壓路徑中引用的數據。

圖 4. 打開的圖像文件
該圖像含有加密的二進制文件,可以在不同的解壓階段使用,直到主LokiBot代碼在內存中解密。在加載main代碼前,惡意軟件會在中創建一個目錄%appdatalocal%,該目錄中會存放Loki二進制文件和圖片。此時,它會使用一個VBS腳本,然后運行LokiBot文件。在這一階段,惡意軟件會創建一個指向VBS文件的autostart注冊表作為駐留機制。LokiBot使用autostart方法后,也有變種使用相同的autostart函數創建的損壞的autostart注冊表。
經過分析,研究人員發現惡意軟件會嘗試在內存中寫autostart注冊表,但是會被覆寫,導致注冊表破壞。這可能是一種編碼或修改錯誤的結果。在解壓的后面階段,主LokiBot代碼最后會加載和執行。
使用隱寫術
今年4月有一個與LokiBot變種相關的事件,惡意軟件表中使用隱藏在PNG圖像文件中的惡意ZIPX文件附件。LokiBot變種將加密的二進制文件隱藏在圖像文件中,首先要尋找表明加密文件開始位置的marker。該字符串是“#$%^&*()__#@$#57$#[email protected]”。

圖 5. 圖片文件中的加密二進制文件
定位文件后,會開始解密過程。最終解密的文件是在解壓之后的階段加載。根據輸入和輸出,研究人員判斷它沒有使用AES這樣的塊來解密文件的內容,而是使用了自己的解密方法。

圖 6. 解密方法

圖7  解密前

圖 8 解密后
該變種加入了另一層混淆,wscript (VBS文件翻譯器)是用來執行惡意軟件的,而不是由真實惡意軟件來自己執行。因為autostart機制使用腳本,而未來的變種可以通過修改腳本文件來修改駐留方法。
LokiBot是目前最活躍的信息竊取器之一,目前絲毫沒有減緩的趨勢。對駐留機制和混淆機制的更新表明LokiBot仍然在更新,在不久的將來會成為亟需應對的威脅。
 

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 江西11选5倍率 东方电子股票最新消 证券投资学股票分析报告 黑龙江快乐十分技巧投注技巧 排列5选号绝招759 浙江快乐体彩11选5开将 配资网上上盈实盘 山东11选五遗漏数据 黑龙江十一选五推荐 广西快3官网