开启邀请码注册中,禁止灌水!发现一次永久禁言

墨客安全网

 找回密码
 立即注册

墨客安全网-新手入门指南 常见问题及帮助 | 做任务赚墨币币 新人报道 | 悬赏问答| 墨币充值| 帖子举报

墨客安全网-论坛精华合集 墨客安全网 -精华合集 之 速成之路 原创精品 | 加入墨客Vip | Vip工具| Vip教程

墨客安全网-进阶技术学习区 软件/工具| 社工专区 | 入侵检测| 技术文章 动画教程 | 编程交流| 免杀更新 | 程序源码

[悬赏公告] - 严查灌水,打造一个无水论坛,从即日起.请大家互相监督,发现恶意灌水的,请发贴举报,核实后会给予5-10的墨币奖励。
[官方公告] 从今日起所有会员发布工具必须到审核板块进行审核,如有违反永久禁言处理!
 [招聘招聘]-招聘各方面给力版主,要求每日发帖不少于3贴,每天在线时间6个小时以上,具体福利和待遇联系TG客服或者在线管理员
[官方公告]1.发现网盘下载地址失效!可以发贴举报 审核证实后给予奖励10-20墨币。2.即日起!不管是谁发贴!都不能带QQ群 已及个人QQ。个人网站,发现后严格处理。[官方业务]-加入墨客安全网Vip,圆你日抓千鸡梦,各种精品教程,免杀远控,压力测试等你拿,期待各位会员的加入,即可享受众多福利!
【官方公告】论坛所有广告均为商业行为,需要交易的请尽量走担保程序,所有因广告产生的任何纠纷请私下解决【站外广告】大量收色刷!刷单肉鸡!带飞机肉鸡!寻内网横向技术!懂的来,小白勿扰!长期包养色刷,刷单,带飞机海外盘国内盘灰产肉鸡稳定鸡商
联系飞机:@seeok91
【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服
查看: 325|回复: 0

[黑客新闻] CVE-2017-11882漏洞利用:投递Loki信息窃取木马的破解版本

[复制链接]
  • TA的每日心情
    擦汗
    2018-6-7 07:22
  • 签到天数: 50 天

    连续签到: 2 天

    [LV.5]常住居民I

    13

    主题

    123

    回帖

    940

    积分

    UID
    11290
    威望
    253 (点)
    主题
    13 (帖)
    精华
    0 (帖)
    贡献
    14  (次)
    墨币
    289  (枚)
    活跃
    103  (点)
    担保币
    0  (枚)
    注册时间
    2017-12-12
    最后登录
    2018-6-7
    发表于 2017-12-22 15:51:54 | 显示全部楼层 |阅读模式
    [color=rgba(0, 0, 0, 0.85098)]译文声明本文是翻译文章,文章原作者Rubio Wu, Anita Hsieh, and Marshall Chen,文章来源:trendmicro.com
    原文地址:http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-11882-exploited-deliver-cracked-version-loki-infostealer/



    传送门
    概述
    根据我们掌握的情报,Cobalt黑客组织是第一个利用CVE-2017-11882漏洞实施网络犯罪活动的组织,该漏洞在今年11月已经发布相应补丁。我们在12月初,发现已经有人利用该漏洞投递多种恶意程序,包括Pony/FAREIT、FormBook、ZBOT和Ursnif。另外,我们发现,最近一次对它的利用,是借助该漏洞,安装一个破解后的信息窃取木马Loki。
    Loki的主要功能在于,可以从FTP客户端(例如:Filezilla)、Web浏览器(例如:Firefox、Chrome和Safari)以及电子邮件客户端(例如:Outlook和Thunderbird)中收取数据,也可以从管理员工具PuTTY、终端模拟器、系统控制台和网络文件传输应用中收集数据。同时,它可以作为一个恶意软件加载,能够记录键盘键入的内容。在黑客论坛中,它作为密码和加密钱包的窃取工具出售。
    在黑客论坛上,破解版本Loki的终身许可证大概在60-100美元之间,而原版则需要250-450美元之间。如果需要附加的功能(例如窃取比特币钱包)或者其他服务(例如域名/ip地址更改),买家需要支付更多的费用。
    我们还注意到,黑客组织自称其售卖的是Loki的原始版本,但实际上只是一个破解的版本。尽管他们使用的是盗版恶意软件,但他们的活动似乎遵循一个固定的操作模式,会盗用他人的电子邮箱,并将垃圾邮件发送给该邮箱账户通讯录中的所有人。目前,该网络活动具有特定的目标,受影响的国家及地区包括法国、中国香港、美国、克罗地亚、印度、澳大利亚、韩国和毛里求斯。



    感染链
    垃圾电子邮件会伪装成澳大利亚航运公司,邮件中会附带一个Office文档格式的附件,并引诱目标用户下载。实际上,该附件是一个Dropper类型的病毒,嵌入在文档中的OLE(Object Linking and Embedding,对象链接与嵌入)对象会链接至另外一个恶意文档,地址为:hxxp://gamesarena[.]gdn/MS-word2017pa[.]doc 。一旦目标用户点击Microsoft Word中的“启用编辑功能”,该远程对象将被自动链接和加载。
    下图为垃圾邮件样本,附件中的文档作为恶意木马的Dropper:
    下图为Word打开后的界面,点击“启用编辑”后恶意代码将被激活:
    下图中的代码证明,远程对象被链接到Dropper:
    该远程对象是一个富文本格式(RTF)文档,其文件名为MS-word-2017pa.doc,该文档利用了CVE-2017-11882漏洞,将从 hxxp://gamesarena[.]gdn/hta/WqJL[.]hta 的位置下载一个HTML应用程序(HTA)的Dropper。随后,HTA将会从hxxp://gamesarena[.]gdn/games/Pasi[.]exe 的位置下载Loki,并将其作为最终的Payload。
    在捕获的网络流量数据包中,证明了RTF文件利用CVE-2017-11882漏洞工作,并且下载了HTA应用程序。

    破解版本的Loki
    在分析最终Payload的过程中,我们发现了一段额外的代码,其功能是在原始代码解密C&C URL之后,试图将原始的C&C URL进行改写。其中,原始C&C URL如上图所示。具体来说,修改后的代码中新增了“.x”部分,用来解密另一个C&C URL(我们将其命名为“Patched C2 URL”),并用其去覆盖原始的C&C URL。根据分析,修改者并没有直接修改源代码并重新编译,而是使用生成器生成另一段代码,这也可以说明,该修改者很可能使用了破解版本的生成器(Builder)。
    通过研究发现,相关Payload是由一个名为“Loki Stealer v1.6 Builder”的生成器产生的,我们还发现该工具与俄罗斯的黑客论坛存在一定联系。该生成器有两个参数:一个是包含四个字符的字符串,将会作为密码使用;另一个就是C&C URL。如果密码不正确,生成器将不会创建样本。有一个可执行文件,负责产生所需的密码。此外我们还发现,生成器的密码是根据日期而产生的,这就表明“Loki Stealer v1.6 Builder”是通过每天更新密码来提供服务的。
    破解版本的修改过程,还会将签名“fuckav[.]ru”插入到原始Loki的二进制标识符(BIN_ID)字段中。随后,生成器将解密新的URL,并在新创建的“.x”部分中对原始C&C URL进行覆盖。当Loki解密原始URL后,控制流会被劫持到“.x”部分。
    如下图所示,通过屏幕显示的内容,我们看到它经过了逆向工程,也就表明它是一个破解后的生成器。但其中的版本存在问题,由于其生成文件的版本号为0x16,因此其版本应该是1.8,而不是所显示的1.6。
    下图为Loki的密码生成器:
    下图为Loki生成器检查密码是否正确的相关算法:




    新人必看帖,如何快速赚取墨币,了解墨客安全网论坛版规,等等...( 点我查看

    如果你在论坛悬赏问答求助问题,并且已经从坛友或者管理的回复中解决了问题,请在帖子内点击(已解决)

    发帖求助前要善用 论坛搜索 功能,如果搜不到可以试试,论坛顶上的 百度站内搜索 - 纵横站内搜索 那里可能会有你要找的答案;

    如果发现论坛有灌水帖、下载地址失效帖、后门帖、广告帖、工具不能正常使用、都可以去 举报版块 发帖举报,核实给予退回墨币+额外的墨币奖励哦;
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    1、请认真发帖,禁止回复纯表情,纯数字等无意义的内容!帖子内容不要太简单!
    2、提倡文明上网,净化网络环境!抵制低俗不良违法有害信息。
    3、每个贴内连续回复请勿多余3贴,每个版面回复请勿多余10贴!
    4、如果你对主帖作者的帖子不屑一顾的话,请勿回帖。谢谢合作!

    关闭

    站长推荐上一条 /1 下一条