我的位置 态势感知  >  漏洞态势

Loki窃密勒索病毒分析

来源:第59号 时间:2021-03-05 阅读次数:

Loki为2020年6月首次出现的一款新型窃密勒索病毒,除了加密勒索功能外,还具备窃取摄像头,屏幕,桌面文件,浏览器密码,比特币钱包和vpn密码等重要数据、远程恶意文件执行的功能。目前该木马仅开启了数据窃取功能,尚未启动远程恶意文件执行和加密勒索。

病毒基本信息

病毒样本Hash:

36cbe272ce45461856a7c0145347f42f
virustotal多个引擎判断为勒索病毒

Anyrun沙箱运行提示有数据窃取行为。

Loki 窃密勒索病毒是由.NET编写的程序,编译时间是2020年6月24日。

病毒静态分析

程序未进行加壳混淆,dnspy直接载入即可清晰的看到该病毒具备的功能模块,从该病毒的类和方法名就可以看出,Loki Stealer病毒具备ransomware、stealer、loader三大块的功能。其中stealer功能支持窃取非常多类型的数据,包括Browser(浏览器存储密码、访问记录、cookie)、Credit_Cards(信用卡凭证)、WebCam(摄像头影像)、Grabber(文件掠夺)、Screen(屏幕截图)、FileZilla(FTP数据)、Steam(Steam平台数据)、Telegram(tg数据)、Wallets(虚拟货币钱包数据)等。

在loki.setting中可以看到该病毒的配置,可以看到该病毒只开启了grabber数据窃取功能,ransomware和loader功能都还未开启,但是相应的功能代码都已具备。

借助IDA PRO可以很清楚的看到各个功能函数的控制流程:

样本在运行后,初始化程序模块并获得文件根目录,之后创建文件夹存储窃取的数据。首先窃取的是webcam、screen、FileZilla、Telegram的数据。

然后是Steam数据,以及敏感文件的遍历窃取,此处会判断loader是否启用,没启用的话就会跳过

此处看一下窃取敏感文件的代码,代码位于loki.loki.Utilies.grabber。发现攻击者会遍历文件目录的.txt、.doc、.cs、.cpp、.dat、.docx、.log、.sql后缀的文件,并新建文件夹将这些后缀的文件复制进去。可以看出,攻击者重点想要窃取的是敏感数据文档、数据库文件、开发代码文件、日志文件、脚本文件以及可能保存敏感信息的txt文件。

最后窃取的是浏览器保存的各类数据、虚拟货币钱包数据。

数据窃取完毕后,会将数据上传到攻击者指定的服务器,上传完成后会删除收集到的敏感数据的文件夹,最后执行勒索加密功能。

看一下上传窃取数据的代码,是采用http的方式,将窃取的数据以POST数据包的形式发送到攻击者服务器。

加密勒索部分,采用的是AES加密,加密后将文件后缀修改为.loki,最后在相应目录下生成HowToDecrypt.txt的勒索信息文件。

动态行为分析

运行样本,注意该样本需要安装.net framework 4.0才能正常运行。但是即使是安装了.net,该样本也无法正常运行,可能是程序本身兼容性的原因。

虽然不能完全正常运行,但是使用火绒剑也捕捉到了该样本的部分行为。
遍历文件目录

摄像头截取

屏幕截图窃取

窃取的信息都在

C:\Users\win7\AppData\Local\Temp\AX754VD.tmp\目录下

病毒行为梳理

Loki勒索窃密病毒的基本行为流程如下:

1、获取受害机器系统信息,获取当前文件跟目录,遍历文件目录,初始化程序执行;
2、窃取受害机器屏幕截图、摄像头截图、FTP数据、Telegram通讯软件数据,将数据拷贝到统一目录保存;
3、获取Steam游戏平台数据,将数据拷贝到统一目录保存;
4、判断Loader加载器模块是否启用,若启用则加载远程可执行恶意文件执行,若未启用则跳过;
5、窃取受害机器.txt、.doc、.cs、.cpp、.dat、.docx、.log、.sql后缀的文件,将数据拷贝到统一目录保存;
6、窃取受害机器浏览器保存的账户和浏览记录等数据,虚拟货币钱包数据,将数据拷贝到统一目录保存;
7、将保存窃取数据的文件目录打包,用HTTP协议以POST方式传输窃密数据到远端服务器;
8、删除受害机器上收集拷贝的窃密数据;
最后执行勒索加密模块,对受害机器文件进行加密,加密后缀为.loki。

 

 

原文来源:第59号

8条评论