传送门
概述
Loki的主要功能在于,可以从FTP客户端(例如:Filezilla)、Web浏览器(例如:Firefox、Chrome和Safari)以及电子邮件客户端(例如:Outlook和Thunderbird)中收取数据,也可以从管理员工具PuTTY、终端模拟器、系统控制台和网络文件传输应用中收集数据。同时,它可以作为一个恶意软件加载,能够记录键盘键入的内容。在黑客论坛中,它作为密码和加密钱包的窃取工具出售。 在黑客论坛上,破解版本Loki的终身许可证大概在60-100美元之间,而原版则需要250-450美元之间。如果需要附加的功能(例如窃取比特币钱包)或者其他服务(例如域名/ip地址更改),买家需要支付更多的费用。 我们还注意到,黑客组织自称其售卖的是Loki的原始版本,但实际上只是一个破解的版本。尽管他们使用的是盗版恶意软件,但他们的活动似乎遵循一个固定的操作模式,会盗用他人的电子邮箱,并将垃圾邮件发送给该邮箱账户通讯录中的所有人。目前,该网络活动具有特定的目标,受影响的国家及地区包括法国、中国香港、美国、克罗地亚、印度、澳大利亚、韩国和毛里求斯。
感染链垃圾电子邮件会伪装成澳大利亚航运公司,邮件中会附带一个Office文档格式的附件,并引诱目标用户下载。实际上,该附件是一个Dropper类型的病毒,嵌入在文档中的OLE(Object Linking and Embedding,对象链接与嵌入)对象会链接至另外一个恶意文档,地址为:hxxp://gamesarena[.]gdn/MS-word2017pa[.]doc 。一旦目标用户点击Microsoft Word中的“启用编辑功能”,该远程对象将被自动链接和加载。
下图为垃圾邮件样本,附件中的文档作为恶意木马的Dropper:
下图为Word打开后的界面,点击“启用编辑”后恶意代码将被激活: 下图中的代码证明,远程对象被链接到Dropper:
该远程对象是一个富文本格式(RTF)文档,其文件名为MS-word-2017pa.doc,该文档利用了CVE-2017-11882漏洞,将从 hxxp://gamesarena[.]gdn/hta/WqJL[.]hta 的位置下载一个HTML应用程序(HTA)的Dropper。随后,HTA将会从hxxp://gamesarena[.]gdn/games/Pasi[.]exe 的位置下载Loki,并将其作为最终的Payload。
在捕获的网络流量数据包中,证明了RTF文件利用CVE-2017-11882漏洞工作,并且下载了HTA应用程序。
破解版本的Loki在分析最终Payload的过程中,我们发现了一段额外的代码,其功能是在原始代码解密C&C URL之后,试图将原始的C&C URL进行改写。其中,原始C&C URL如上图所示。具体来说,修改后的代码中新增了“.x”部分,用来解密另一个C&C URL(我们将其命名为“Patched C2 URL”),并用其去覆盖原始的C&C URL。根据分析,修改者并没有直接修改源代码并重新编译,而是使用生成器生成另一段代码,这也可以说明,该修改者很可能使用了破解版本的生成器(Builder)。
通过研究发现,相关Payload是由一个名为“Loki Stealer v1.6 Builder”的生成器产生的,我们还发现该工具与俄罗斯的黑客论坛存在一定联系。该生成器有两个参数:一个是包含四个字符的字符串,将会作为密码使用;另一个就是C&C URL。如果密码不正确,生成器将不会创建样本。有一个可执行文件,负责产生所需的密码。此外我们还发现,生成器的密码是根据日期而产生的,这就表明“Loki Stealer v1.6 Builder”是通过每天更新密码来提供服务的。 破解版本的修改过程,还会将签名“fuckav[.]ru”插入到原始Loki的二进制标识符(BIN_ID)字段中。随后,生成器将解密新的URL,并在新创建的“.x”部分中对原始C&C URL进行覆盖。当Loki解密原始URL后,控制流会被劫持到“.x”部分。
如下图所示,通过屏幕显示的内容,我们看到它经过了逆向工程,也就表明它是一个破解后的生成器。但其中的版本存在问题,由于其生成文件的版本号为0x16,因此其版本应该是1.8,而不是所显示的1.6。
下图为Loki的密码生成器:
下图为Loki生成器检查密码是否正确的相关算法:
/1 
雷达卡
UID
威望
主题
精华
贡献
墨币
活跃
担保币
发表于 2017-12-22 15:51:54
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜