来源： 作者： 发布时间：2024-06-11

 

LokiBot是一款在地下站点出售，窃取用户敏感数据的恶意软件，主要通过垃圾邮件、钓鱼邮件传播。窃取的数据包括浏览器、电子邮箱、ftp、sftp密码及凭证等。随着LokiBot特性和功能的不断更新演化，它已经从最初的银行木马发展成为款强大的恶意家族软件。

　　根据迪普科技（300768）追踪显示，今年3月初LokiBot家族就已经开始活跃，其窃取的私人数据包括存储的密码、Web浏览器的登录凭据信息、各类APP应用信息以及各种加密货币钱包、当前主机和用户信息，除此之外还有键盘记录和截图功能。

　　LokiBot主要分发途径

　　LokiBot主要分发途径分为以下几种情况：

　　1.通过邮件附件的形式，从而绕过部分检测。

　　2.通过软件漏洞入侵，例如Office漏洞，构造恶意文档或Excel表。

　　LokiBot分析

　　上下滑动查看更多

　　一、hash信息

 

　　二、母体文件

　　通过对样本进行查壳分析，得知该样本为自解压程序，通过诱导用户点击从而实现自解压。

 

　　● 释放文件

　　通过文件监控软件，对母体文件进行文件监控，得知母体文件在temp目录将释放injnxgi.bat、injnxgi.sfx.exe以及injnxgi.exe，temp目录可通过%temp%访问。

 

　　访问temp目录发现确实新增三个文件，和文件监控软件的捕获情况一致。

 

　　● 功能分析

　　通过调用CreateFileW来创建文件，如果文件不存在则创建该文件。

 

　　在创建好上述文件后，再进一步创建injnxgi.bat文件。

 

　　通过查看缓冲区内容可以得知，写入的内容为调度指令，通过Buffer缓冲区的内容将写入injnxgi.bat。

 

　　打开injngi.bat对比缓冲区内容，确实是将缓冲区内容写入injngi.bat文件，这也是第一步的落地文件。

 

　　在injngi.bat处理完成后，又创建injnxgi.sfx.exe文件，从名字中可以看出这是一个可执行的PE文件。

 

　　同样的通过缓冲区内容可以看出，写入的内容为PE文件，将缓冲区的内容写入injnxgi.sfx.exe文件。

 

　　自此整个文件相关的操作就已全部完成，最后以CreateProcessW API启动位于temp目录下的injnxgi.bat文件，母体进程就此退出。

 

　　三、injnxgi.bat injnxgi.bat为母体文件释放的批处理文件，其作用在于通过批处理完成后续步骤。

　　● 启动进程

　　对injnxgi.bat文件内容进行查看，通过批处理来启动injnxgi.sfx.exe文件。

 

　　通过之前母体文件分析得知，最后是通过以CreateProcessW的形式启动批处理injnxgi.bat文件。

 

　　四、injnxgi.sfx.exe

　　对落地文件injnxgi.sfx.exe进行查看，injnxgi.sfx.exe本身依旧还是自解压程序，同样会释放出落地文件。

 

　　● 释放文件

　　ininxgi.sfx.exe创建injnxgi.exe文件。

 

　　同样的缓冲区的PE文件，写入injnxgi.exe文件。

 

　　● 创建进程

　　最后通过CreateProcessW API创建进程，启动位于对应目录下的injnxgi.exe。自此整个自解压过程结束，释放出最重要的落地文件injnxgi.exe。

 

　　五、injnxgi.exe injnxgui.exe位于temp目录下的%temp%目录。

 

　　● 加壳保护

　　injnxgui.exe就是Loki的信息窃取主体，但是由于被加壳保护，无法直接查看具体功能实现的代码。

 

　　通过dnSpy加载目标程序，函数名被混淆，同时由于壳的保护导致无法进行调试运行。

 

　　● 相关操作

　　通过对injnxgui.exe进行监控，发现通过injnxgui.exe有如下操作：

　　1.释放文件到%appdata%目录，创建6位长的字符串目录，并将其一并隐藏。

　　2.回连C2服务器，但服务器目前已处于不可响应的情况。

　　修改文件属性，从而实现文件隐藏，目录位于%appdata%目录之下，隐藏的目录位A04E55、隐藏的文件名位50265B.exe。

 

　　通过管理员权限启动cmd命令行，使用attrib指令即可列出当前隐藏的文件。

 

　　同理，对目录采用同样的方式，即可显示被隐藏的目录。

 

　　● 溯源追踪

　　通过wireshark对程序进行流量抓包，目标主机91.92.252.146已经失去响应。

 

　　通过对91.92.252.146IP地址进行回溯，发现同期在3月-5月间存在多次检测记录，其中5月10日就是目标样本injnxgi.exe。

 

　　对部分样本进行数据查看发现，被上传文件的名字均为server1.exe，且都有对目标91.92.252.146进行URL通行。从3月-5月的样本中发现通信地址，如下所示：

 

 

 

 

　　LokiBot基本特征

　　目前已知的LokiBot特征有如下几点：

　　1.在%APPDATA%目录下创建6位字符串的隐藏目录，并将目录内的文件隐藏。

　　2.创建6位字符串的lck文件，其作用为防止资源冲突。

　　3.定期从C2服务器获取C2命令，并回传数据包。

　　目标样本符合第一点和第二点，并且其回连C2服务器已被确定为LokiBot。

　　最新样本

　　目前LokiBot持续活跃，最新样本于5月20日上传到Virtustotal平台。

 

　　Wireshark抓取的请求信息如下所示，数据包含用户信息、主机名等关键信息，其中包含固定特征ckav.ru，Content-Key等。

 

　　对应IP地址为45.61.137.215，目前URL请求已返回404。

 

　　迪普科技防护策略

　　安全防护到端、不留死角

　　迪普科技终端检测与响应系统从静态防御和动态防御两个维度专门定制了对恶意软件的围猎矩阵，覆盖恶意软件破坏前、破坏中、破坏后全生命周期，并通过专用AI模型实现静态检测，再配合行为狩猎和诱捕实现动态防护。

　　建立监测、分析、处置的运营体系

　　迪普科技先知威胁感知大数据平台通过对全网流量实时分析，并基于专有的恶意软件监测大屏实时监测恶意软件的攻击情况及攻击影响范围，同时可基于预设的SOAR策略联动全网安全防护设备对恶意软件进行自动响应处置，实现快速、高效响应，有效防护恶意软件在内的多种威胁。

　　构建边界“守护人”

　　随着《数据安全法》和《个人信息保护法》相继出台，国家对数据安全的重视程度达到了前所未有的新高度。由于数据泄露事件逐年增加，数据多维度防泄漏需求也在随之增多。迪普科技数据防泄漏系统，通过智能内容识别技术判断数据敏感度，从终端、网络两个维度帮助用户构建内部数据安全防护体系，为使用终端电脑、文件服务器、应用系统、互联网、外接设备、电脑屏幕等IT环境内资源时带来的泄漏风险、数据安全问题提供整体解决方案。

　　专家团队“守护最后一道防线”

　　迪普科技安全服务团队具备专业的技术和丰富的经验，能够有效地防范、检测和应对恶意软件攻击。在事前开展安全意识宣贯培训，防范恶意软件传播；事中通过先知威胁感知大数据平台及APT安全检测平台进行检测和分析；事后迅速响应，协助客户制定应对策略，进行恶意软件定位，降低损失。

　　防护建议

　　1.安装和定期更新杀毒软件：使用信誉良好的杀毒软件，并确保它们处于最新状态，以确保及时检测和清除LokiBot等恶意软件。

　　2.注意电子邮件和附件：避免点击未知发件人的电子邮件链接或下载附件，这可能是LokiBot的传播途径之一。

　　3.谨慎下载软件：只从官方网站或可信来源下载软件，并避免下载和安装来历不明的软件，以减少感染风险。

　　4.更新操作系统和应用程序：定期更新操作系统、浏览器和其他应用程序，以修补已知漏洞，降低LokiBot利用漏洞进行入侵。

　　5.使用防火墙和网络安全工具：配置和使用防火墙以及其他网络安全工具，以监控和阻止恶意活动，包括LokiBot的传播和通信。

　　6.多因素身份验证：启用多因素身份验证以增强账户的安全性，即使LokiBot窃取了登录凭证，也能降低被盗的风险。

　　7.加强教育和培训：个人应接受有关网络安全和恶意软件的培训，做到能够识别潜在的威胁，并知道如何应对LokiBot等恶意软件的攻击。

　　迪普科技多年来致力于网络安全研究，对重要网络安全事件、安全漏洞进行快速分析、响应，具备国内一流的威胁情报分析、人工智能和大数据团队。作为网络安全行业主力军，迪普科技将持续跟进前沿的安全攻防研究、热点安全事件、重大漏洞等，更好地为政企用户提供最新安全事件以及安全漏洞的通报及响应处置服务。