|
什么是Lokibot恶意软件? Lokibot,也称为Loki-bot或Loki bot,是一种信息窃取恶意软件,可从最广泛使用的Web浏览器,FTP,电子邮件客户端以及被感染计算机上安装的一百多种软件工具收集数据。它是在前苏联国家之一开发的。 它是由创作者发布的销售公告于2015年5月3日首次发现的,该恶意软件至今仍处于活动状态。 Lokibot的一般描述 Lokibot间谍软件的最初版本最初是由称为“ lokistov”或“ Carter”的黑客创建和出售的,最初售价高达400美元。但是,不久之后,几乎完全相同的恶意软件开始出现在黑客论坛上,许多卖家的价格仅为80美元。据认为,“ lokistov”本人已被黑客入侵,该病毒的源代码也被泄露,从而使其他人能够制造和出售极其相似的恶意软件。 奇怪的是,研究人员随后发现,该病毒的第一版被某人修补,而没有访问源代码,这使黑客社区能够设置一系列用于接收检索到的数据的单个域。 即使今天存在该病毒的多个版本,但发现它们实际上都是对原始恶意软件的修改。有趣的是,Lokibot窃取程序向其发送数据的服务器对于每个特定的恶意软件样本都是唯一的。 Lokibot恶意软件分析 一个视频显示由ANY.RUN互动恶意软件狩猎服务创建的污染过程的模拟提供了绝好的机会,看看如何污染过程中被感染的计算机上展开。如模拟所示,Lokibot需要打开电子邮件附件,例如Microsoft Office文件或存档文件,才能进入活动阶段。 图1:由ANY.RUN恶意软件搜索服务生成的流程图 恶意软件的生命周期可以分为以下几个阶段:
如何避免Lokibot感染? 由于Lokibot间谍软件需要激活宏才能感染系统,因此攻击者将尽其所能使受害者启用它们。因此,保持宏关闭是保护免受特洛伊木马攻击的最佳选择。特别是,当从可疑来源下载的文档或未知电子邮件地址提示启用宏时,应格外小心。 此外,拥有可信赖的开发人员的防病毒软件并始终对其进行更新是降低成为恶意软件受害者的可能性的一种好方法。另一个好的常用做法是,在打开附件或单击来自不明来源的电子邮件中的链接时,要格外注意。 Lokibot的发行 Lokibot窃取程序主要通过垃圾邮件活动进行分发,提示用户下载附加的受感染文件。特别是,三种最常用的文件类型是配置为开始恶意软件下载和安装过程的Microsoft Office文档,包含Loki-Bot可执行文件的存档文件或还包含Loki-Bot可执行文件的ISO文件。 Lokibot执行流程 在ANY.RUN恶意软件狩猎服务上进行的交互式沙箱模拟,使我们可以更仔细地了解在被污染的Microsoft Office文件是感染源的情况下,Lokibot的执行过程如何展开。
图2:说明了由ANY.RUN仿真显示的Lokibot的执行过程 图3:由ANY.RUN创建的文本报告 该病毒在其执行过程中会生成多个工件。特别是,可以在任何时间点将四种类型的文件同时存储在秘密%APPDATA%目录中。这些文件可以具有“ .exe”,“。lck”,“。hdb”或“ .kdb”。扩展名和每种文件类型均用于特定目的:
键盘记录器使用以下算法来命名文件:
2.然后,该病毒使用MD5算法计算MachineGuid的哈希总和,在我们的情况下,该哈希总和为c83ba0aa282a966263dda560052b3caf。 3.最后,将所得哈希量的第8到第13个字符用作子目录的名称,并将第13到第18个字符作为文件名。 与C&C的沟通 为了与C&C服务器通信,该病毒的修补版本(也是最广泛传播的病毒)会发送“ ckav.ru”字符串。有趣的是,发送的数据也是“ fuckav.ru”的子字符串。 |