首页 >> 网络安全 >>病毒分析 >> 通过PDF文件传播新的Loki变体
详细内容

通过PDF文件传播新的Loki变体

时间:2020-07-19        阅读

背景

Loki Bot已被观察多年。如您所知,它旨在从受害者计算机上已安装的软件中窃取凭据,例如电子邮件客户端,浏览器,FTP客户端,文件管理客户端等。FortiGuard Labs最近捕获了一个PDF样本,该样本用于传播新的Loki变体。在此博客中,我们将分析此新变体的工作原理以及它所窃取的东西。

1.png

PDF样本

2.png

图1. PDF示例的内容

PDF样本仅包含一页,如上所示,其中包含一些社会工程学内容,以诱使用户下载并运行恶意软件。

3.png


图2. PDF示例中的对象

根据示例内容(图2),示例中的注释对象包括一个URI操作,在该操作中下载了恶意软件。

将自身添加到启动文件夹

首次执行此恶意软件时,它将自身复制到“%AppData%\ subfolder”,然后在我的测试环境中将其重命名为“ citrio.exe”。然后,它创建一个可以启动“ citrio.exe”的VBS文件。图3显示了其代码。VBS文件已添加到系统的“开始”菜单中,因此可以在系统启动时自动运行。所有这些操作完成后,将启动“ citrio.exe”。

4.png


图3. Startup中的VBS文件及其代码

新的Loki变体如何工作

该恶意软件中正在调用的所有API均被隐藏,将在调用前将其还原。这增加了研究人员分析它的难度。图4显示了一个示例。用哈希值(C5FA88F1h)和DLL编号(0Ah)调用sub_4031E5函数后,eax指向API“ CommandLineToArgvW”。

5.png


图4.恢复隐藏的API

该恶意软件的作者编写了许多功能,可以从受害者的计算机中窃取凭据。有一个数组用于存储函数指针。图5显示了部分函数指针。

6.png

图5.具有函数指针的数组

您可能已经注意到,我在每个功能后面添加了注释,以向您显示它从哪个软件窃取凭据。该恶意软件循环地调用这些功能。以下是其凭证可能被盗的大多数软件的列表。


浏览器软件:

Mozilla Firefox,IceDragon,Safari,K-Meleon,Mozilla SeaMonkey,Mozilla Flock,NETGATE Black Hawk,Lunascape,Comodo Dragon,Opera Next,QtWeb,QupZilla,Internet Explorer,Opera,8pecxstudios,Mozilla Pale Moon,Mozilla Waterfox。


FTP软件:

FTPShell,NppFTP,oZone3D MyFTP,FTPBox,sherrod FTP,FTP Now,NetSarang xftp,EasyFTP,SftpNetDrive,AbleFTP,JaSFtp,Automize,Cyberduck,FTPInfo,LinasFTP,FileZilla,Staff-FTP,BlazeFtp,FTPGetter,WSFTP,GoFTP,Estsoft ALFTP ,DeluxeFTP,Fastream NETFile,ExpanDrive,Steed,FlashFXP,NovaFTP,NetDrive,SmartFTP,UltraFXP,FTP Now,FreshFTP,BitKinex,Odin Secure FTP Expert,NCH Software Fling,NCH Software ClassicFTP,WinFtp Client,WinSCP,32BitFtp,FTP Navigator。


游戏软件:

Full Tilt扑克,PokerStars。


文件管理器软件:

NexusFile,FullSync,FAR管理器,Syncovery,VanDyke SecureFX,Mikrotik Winbox。


SSH / VNC客户端软件:

SuperPutty,Bitvise BvSshClient,VNC,KiTTY。


密码管理器软件:

mSecure,KeePass,EnPass,RoboForm,1Password。


电子邮件客户端软件:

Mozilla Thunderbird,foxmail,Pocomail,IncrediMail,Gmail Notifier Pro,DeskSoft CheckMail,Softwarenetz Mailing,Opera Mail,Postbox email,Mozilla FossaMail,Internet Mail,MS Office Outlook,WinChips,yMail2,Flaska.net Trojita,TrulyMail。


Notes / Todo列表软件:

待办事项DeskList,Stickies,NoteFly,Conceptworld Notezilla,Microsoft StickyNotes。


窃取Microsoft Outlook凭据和便利贴

通过上面的分析,很明显,这个新的Loki变种能够从100多种不同的软件工具(如果已安装)中窃取凭据。在本节中,我们将介绍它如何窃取Microsoft Outlook的凭据以及来自胶粘物。


为此,它通过系统注册表中的三个子项(用于三个不同的版本)来获取已保存的电子邮件帐户,电子邮件地址,用户名,密码,SMTP,POP3,IMAP相关信息,等等。


这三个子项是:

7.png

图6. Microsoft Outlook将凭据保存在注册表中

8.png

图7.复制子项“ POP3密码”

在上图中,您可以看到的是我的测试环境的系统注册表中的Outlook凭据。该恶意软件可以通过调用API“ SHQueryValueExW”从此处读取它们。所有窃取的信息都存储在全局缓冲区中。参见图8。

9.png

图8.全局缓冲区中的Outlook凭证被盗

对于Stickies攻击,由于我没有安装该软件,所以我只修改了测试机以模拟它已安装。开始了。

图9显示了Stickies的部分代码。它获取使用前动态创建的字符串“ * .png”,“ *。rtf”,“%s \ stickies \ images”。该恶意软件从多个系统目录(例如,%AppData%,%UserProfile%)的子文件夹“ \ stickies \ images”和“ \ stickies \ rtf”中窃取png和rtf文件。

10.png

图9. Stickies的代码片段

我创建了一个子文件夹“%AppData%\ stickies \ images”,并将一个.png文件放入其中。Loki将png文件读入Outlook数据后面的全局缓冲区。它还从受害者的计算机中收集系统信息,例如计算机名称,用户名,处理器属性等。所有收集的信息准备就绪后,它将使用HTTP POST请求将它们发送到其C&C服务器,该请求的主体是数据从受害者的机器上被盗。并且数据以一种压缩格式传递。图10显示了WireShark中数据包的屏幕截图。

11.png

图10.将从Outlook和Stickies窃取的数据发送到C&C服务器


FortiGuard Webfilter服务已将URL“ 194.88.105.202/~ninjagro/pdfs/QUOTATION.exe”评级为“ 恶意网站”,将“ online-prodaja.rs/tz/Panel/five/fre.php” 评级为“ 网络钓鱼 ” 。


FortiGuard防病毒服务已将下载的exe文件检测为W32 / Injector.DONO!tr,并将PDF文件检测为Data / Loki_Phish.A!tr。


IoC

网址:

“ 194.88.105.202/~ninjagro/pdfs/QUOTATION.exe”

“ online-prodaja.rs/tz/Panel/five/fre.php



.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

猜你喜欢
更多
联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录