什么是Lokibot恶意软件？

Lokibot，也称为Loki-bot或Loki bot，是一种信息窃取恶意软件，可从最广泛使用的Web浏览器，FTP，电子邮件客户端以及被感染计算机上安装的一百多种软件工具收集数据。它是在前苏联国家之一开发的。

它是由创作者发布的销售公告于2015年5月3日首次发现的，该恶意软件至今仍处于活动状态。

Lokibot的一般描述

Lokibot间谍软件的最初版本最初是由称为“ lokistov”或“ Carter”的黑客创建和出售的，最初售价高达400美元。但是，不久之后，几乎完全相同的恶意软件开始出现在黑客论坛上，许多卖家的价格仅为80美元。据认为，“ lokistov”本人已被黑客入侵，该病毒的源代码也被泄露，从而使其他人能够制造和出售极其相似的恶意软件。

奇怪的是，研究人员随后发现，该病毒的第一版被某人修补，而没有访问源代码，这使黑客社区能够设置一系列用于接收检索到的数据的单个域。

即使今天存在该病毒的多个版本，但发现它们实际上都是对原始恶意软件的修改。有趣的是，Lokibot窃取程序向其发送数据的服务器对于每个特定的恶意软件样本都是唯一的。

Lokibot恶意软件分析

一个视频显示由ANY.RUN互动恶意软件狩猎服务创建的污染过程的模拟提供了绝好的机会，看看如何污染过程中被感染的计算机上展开。如模拟所示，Lokibot需要打开电子邮件附件，例如Microsoft Office文件或存档文件，才能进入活动阶段。

图1：由ANY.RUN恶意软件搜索服务生成的流程图

恶意软件的生命周期可以分为以下几个阶段：

• 污染。受害者下载了受感染的存档文件或Microsoft Office文件，最终下载了恶意软件；

• 最初打包时，Keylogger会自行解包并开始执行主要有效内容；

• 该病毒为它针对的每个应用程序创建唯一的循环功能，并将检索到的数据保存到缓冲区中。

• 然后，修改注册表项，并将特洛伊木马程序专门复制到％APPDATA％文件夹下具有特定名称唯一名称的文件夹。这可以使病毒建立持久性。MachineGuid MD5用于生成名称，该名称也可用作Mutex和bot-id。作为此步骤的最后一步，病毒会生成一个注册表项，该注册表项指向它之前复制的文件，该文件指向％APPDATA％文件夹内的特定文件夹；

• 然后，根据当前用户是否有特权，病毒会在HKEY_LOCAL_MACHINE或KEY_CURRENT_USER下设置持久性；

• 接下来，将常规系统信息发送到C＆C服务器；

• 为了保持持久性，按键记录程序然后对URL和注册表项应用三重DES加密；

• 此后，病毒开始等待来自C＆C的命令，并创建一个新线程来检测C＆C响应。

如何避免Lokibot感染？

由于Lokibot间谍软件需要激活宏才能感染系统，因此攻击者将尽其所能使受害者启用它们。因此，保持宏关闭是保护免受特洛伊木马攻击的最佳选择。特别是，当从可疑来源下载的文档或未知电子邮件地址提示启用宏时，应格外小心。

此外，拥有可信赖的开发人员的防病毒软件并始终对其进行更新是降低成为恶意软件受害者的可能性的一种好方法。另一个好的常用做法是，在打开附件或单击来自不明来源的电子邮件中的链接时，要格外注意。

Lokibot的发行

Lokibot窃取程序主要通过垃圾邮件活动进行分发，提示用户下载附加的受感染文件。特别是，三种最常用的文件类型是配置为开始恶意软件下载和安装过程的Microsoft Office文档，包含Loki-Bot可执行文件的存档文件或还包含Loki-Bot可执行文件的ISO文件。

Lokibot执行流程

在ANY.RUN恶意软件狩猎服务上进行的交互式沙箱模拟，使我们可以更仔细地了解在被污染的Microsoft Office文件是感染源的情况下，Lokibot的执行过程如何展开。

• 模拟从打开Microsoft Office文件开始。立即，使用启用宏执行WINWORD.EXE。

• 然后，通过利用CVE-2017-11882漏洞，Microsoft Office Equation Editor继续下载恶意可执行文件；

• 最终，一个恶意的可执行文件将自己运行，然后继续窃取个人数据并连接到C＆C服务器。

图2：说明了由ANY.RUN仿真显示的Lokibot的执行过程

图3：由ANY.RUN创建的文本报告

该病毒在其执行过程中会生成多个工件。特别是，可以在任何时间点将四种类型的文件同时存储在秘密％APPDATA％目录中。这些文件可以具有“ .exe”，“。lck”，“。hdb”或“ .kdb”。扩展名和每种文件类型均用于特定目的：

• .exe文件包含木马程序的可执行副本，该副本在用户登录帐户时触发，

• 生成.lck文件是为了防止在解密Windows凭据或键盘记录时发生资源冲突，

• .hdb文件用于存储已传输到C＆C服务器的所有数据样本的哈希

• .kdb文件又用于保存有关尚未发送到服务器的数据的信息

键盘记录器使用以下算法来命名文件：

1. 首先，Lokibot从注册表分支HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography中获取MachineGuid的值。在我们的模拟情况下，它设置为dc5131b5-5fbc-4f85-b1ed-28d4392080ca。

2.然后，该病毒使用MD5算法计算MachineGuid的哈希总和，在我们的情况下，该哈希总和为c83ba0aa282a966263dda560052b3caf。

3.最后，将所得哈希量的第8到第13个字符用作子目录的名称，并将第13到第18个字符作为文件名。

与C＆C的沟通

为了与C＆C服务器通信，该病毒的修补版本（也是最广泛传播的病毒）会发送“ ckav.ru”字符串。有趣的是，发送的数据也是“ fuckav.ru”的子字符串。