信息來源:4hou
LokiBot首次出現(xiàn)是作為信息竊取器和keylogger,隨著這些年的發(fā)展,LokiBot不斷加入了一些新的功能。該惡意軟件的最新活動表明它濫用Windows Installer進(jìn)行安裝,并引入含有惡意ISO文件附件的垃圾郵件的新傳播方法。研究人員對該LokiBot變種進(jìn)行分析發(fā)現(xiàn)它更新了駐留機制,并使用隱寫術(shù)來隱藏惡意代碼。
圖 1. 含有LokiBot附件的垃圾郵件樣本示例
分析
郵件樣本
郵件樣本中有多個元素。第一個也就最明顯的就是sender name和郵件簽名不匹配,表明這可能是一個惡意消息。第二個是sense of urgency:郵件的發(fā)送時間是7月1日,但郵件內(nèi)容告知接收者訂購的產(chǎn)品會在7月中旬送到。也就是說向接受者灌輸一種急迫感,讓接收者盡快打開附件。最后,郵件的IP地址37[.]49[.]230[.]149也表明是惡意的。
附件New Order July .DOC中有兩個嵌入式對象:
1.一個是Microsoft Excel 97-2003 工作表
2.一個是標(biāo)記為package.json的package
執(zhí)行后,文檔會立刻顯示一個Excel工作表,然后執(zhí)行潛入在工作表中的VBS宏代碼。具體步驟如下:
圖 2. Lokibot感染鏈
根據(jù)郵件header可以看出郵件應(yīng)該是新創(chuàng)建的,而不是轉(zhuǎn)發(fā)或回復(fù)消息。也沒有信息表明現(xiàn)有的郵件賬號被黑了。因為IP地址和發(fā)送者域名不對應(yīng),因此應(yīng)該是發(fā)送者偽裝成一個合法的賬號。
Trend Micro安全產(chǎn)品檢測到的垃圾郵件的主題有:
1、PO #201 API documents attached (Dye and colour sample)
2、PO #2789 Approved documents
3、RE RE new ORDER #37789 (MT) 230KG
4、RE RE new ORDER #37789 249 CBM
5、RE RE new ORDER (COA) 230KG
這表明攻擊者使用了相對通用的郵件標(biāo)題,而不是根據(jù)社會工程技術(shù)生成的針對性的表單。
圖片文件中隱藏的代碼
研究人員通過VirusTotal發(fā)現(xiàn)了多個類似的樣本,提交的時間在6月24日到7月5日。研究人員分析發(fā)現(xiàn)惡意軟件樣本的文件名是不同的,但看不出來什么規(guī)律:
1、exe / bpxssh.jpg
2、exe / sittey.jpg
3、exe / jkcgjj.jpg
研究人員發(fā)現(xiàn)LokiBot變種通過含有惡意RTF文件附件的垃圾郵件進(jìn)行傳播。RTF文件中含有嵌入的Excel OLE對象,使用Windows Management Instrumentation (WMI)和PowerShell來下載和執(zhí)行惡意軟件。
圖 3. VirusTotal中含有LokiBot附件的郵件樣本
安裝過程中,LokiBot變種會將自己安裝為%Temp%\[filename].exe和%temp%\[filename].jpg。圖像文件的一個特征是可以以圖片格式打開。但其中仍然含有LokiBot在解壓路徑中引用的數(shù)據(jù)。
該圖像含有加密的二進(jìn)制文件,可以在不同的解壓階段使用,直到主LokiBot代碼在內(nèi)存中解密。在加載main代碼前,惡意軟件會在中創(chuàng)建一個目錄%appdatalocal%,該目錄中會存放Loki二進(jìn)制文件和圖片。此時,它會使用一個VBS腳本,然后運行LokiBot文件。在這一階段,惡意軟件會創(chuàng)建一個指向VBS文件的autostart注冊表作為駐留機制。LokiBot使用autostart方法后,也有變種使用相同的autostart函數(shù)創(chuàng)建的損壞的autostart注冊表。
經(jīng)過分析,研究人員發(fā)現(xiàn)惡意軟件會嘗試在內(nèi)存中寫autostart注冊表,但是會被覆寫,導(dǎo)致注冊表破壞。這可能是一種編碼或修改錯誤的結(jié)果。在解壓的后面階段,主LokiBot代碼最后會加載和執(zhí)行。
使用隱寫術(shù)
今年4月有一個與LokiBot變種相關(guān)的事件,惡意軟件表中使用隱藏在PNG圖像文件中的惡意ZIPX文件附件。LokiBot變種將加密的二進(jìn)制文件隱藏在圖像文件中,首先要尋找表明加密文件開始位置的marker。該字符串是“#$%^&*()__#@$#57$#!@”。
圖 4. 圖片文件中的加密二進(jìn)制文件
定位文件后,會開始解密過程。最終解密的文件是在解壓之后的階段加載。根據(jù)輸入和輸出,研究人員判斷它沒有使用AES這樣的塊來解密文件的內(nèi)容,而是使用了自己的解密方法。
圖 5. 解密方法
圖6 解密前
圖 7 解密后
該變種加入了另一層混淆,wscript (VBS文件翻譯器)是用來執(zhí)行惡意軟件的,而不是由真實惡意軟件來自己執(zhí)行。因為autostart機制使用腳本,而未來的變種可以通過修改腳本文件來修改駐留方法。
LokiBot是目前最活躍的信息竊取器之一,目前絲毫沒有減緩的趨勢。對駐留機制和混淆機制的更新表明LokiBot仍然在更新,在不久的將來會成為亟需應(yīng)對的威脅。