阿里聚安全 发表于 2017-11-9 10:06

木马开启智能识别?深度解析新型变形恶意软件LokiBot!

本帖最后由 阿里聚安全 于 2017-11-9 10:22 编辑

作者:钱盾反诈实验室


0x1.木马介绍
近期,Client-SideDetection披露“LokiBot”木马,钱盾反诈实验室快速响应分析,发现“LokiBot”木马前身是由“BankBot”演变而来。与其他银行劫持木马相比“LokiBot”具备其独特功能,可以根据不同目标环境发起相应攻击,比如主动向用户设备发起界面劫持、加密用户设备数据,勒索欺诈用户钱财、建立socks5代{过}{滤}理和SSH隧道,进行企业内网数据渗透。“LokiBot”传播途径通过恶意网站推送虚假的“Adobe Flash Playe”、“APK Installer”、“System Update”、“Adblock”、“Security Certificate”等应用更新,诱导用户安装。运行截图如下:

http://epo.alicdn.com/image/46420r6nt2m0.jpghttp://epo.alicdn.com/image/4641umcbb1r0.png

0x2.样本分析


2.1恶意代码解析
LokiBot关键组件和代码块如下:
http://epo.alicdn.com/image/46420shor3h0.png
MainActivity:恶意代码执行入口。模拟器检查[1]、图标隐藏、引导激活设备管理、启动CommandService和InjectProcess。
Boot:Receiver组件,恶意代码执行入口。核心服务CommandService保活。
CommandService:核心服务,根据远程控制指令执行恶意代码。
InjectProcess:界面劫持服务。
Crypt模块:加密文件、锁定设备实施勒索。
Socks模块:实现Socks5协议和SSH隧道,使受控设备所在内网服务器和攻击者主机之间能进行流量转发。

2.2 远程控制
首先上传设备deviceId、锁屏状态、网络类型至控制端(**92500503912**:Loki:1:wifi)。控制端以用户deviceId作为肉鸡ID,并下发指令数据,触发恶意行为。指令包括:

指令功能
Send_SMS利用受害人身份给任意用户发送恶意短信
Send_USSD拨打任意号码
Go_Contacts上传设备联系人
Gethistori上传浏览器历史记录
Start_AllApp上传设备安装应用包名
Update Bots更新LokiBot
Forward_call设置呼叫转移
Go_Leading_requestWebView加载恶意网址
Go_Passwords设置锁屏密码
DeleteApp自身卸载,取消激活设备管理,触发勒索
Go_Smsmnd设置默认短信应用
GetAllSms获取用户短信记录
DellSms删除最新一条短信
Send_spam短信蠕虫,群发恶意内容给用户联系人
App_call启动任意app
Shells执行shell
Go_Crypt锁定用户设备,并加密设备文件
Go_Scrynlock锁定设备,使用户无法使用
startSocks安装Socks5代{过}{滤}理
Start_Inject启动InjectProcess,执行银行应用劫持

LokiBot会根据采集到的用户数据,发起相应的攻击。攻击手段主要包括以下三种方式:
[*]用户设备安装有银行或社交类app会发起应用劫持攻击;
[*]用户网络环境属于某企业,会进行内网渗透;
[*]直接发送DeleteApp或Go_Crypt指令,实施勒索敲诈。

2.3 应用劫持
劫持过程与“BankBot”木马[2]相似,都是上传用户安装列表,在云端配置劫持界面,后台监视应用,一旦用户开启劫持列表内的应用,就弹出钓鱼界面覆盖真实应用,诱导用户输入账户和密码。由于此类木马生命周期短,“LokiBot”则采取主动发起应用劫持。方式包括:
[*]通过远程指令启动待劫持应用;
[*]主动弹出伪造的app Notification,一旦用户点击就弹出钓鱼界面

http://epo.alicdn.com/image/46420ucuntu0.png
2.4内网渗透
若受控设备处于内网环境,“LokiBot”下发startSocks命令,建立Socks5代{过}{滤}理和SSH安全隧道,攻击者这样以移动设备为跳板,入侵内网,窃取企业数据资产。
“LokiBot”木马内网渗透过程:
[*]木马(SSH客户端)主动连接攻击者主机(SSH服务端),建立SSH连接,并设置端口转发方式为远程端口转发,这样完成SSH Client端至SSH Server端之间的安全数据通讯,并能突破防火墙的限制完成一些之前无法建立的TCP连接。
[*]木马作为socks服务端创建一个socket,等待本机的SSH客户端(木马)连接,连接成功后就可以通过SSH安全隧道进行内网数据渗透。

http://epo.alicdn.com/image/1atenbenrs3.png
建立SSH安全传输隧道
控制端下发的”startSocks”数据指令还包括:攻击者主机IP、木马作为socks服务器要监听的端口、木马连接攻击者主机(SSH服务器)的用户名、密码信息。木马创建一个异步任务,内部使用JSch包提供的接口实现攻击端主机连接,端口转发设置。
http://epo.alicdn.com/image/dd6j9lu4uio.png

socks代{过}{滤}理
木马实现了一套socks5协议,在内网服务器和攻击者之间转发数据流量。这样木马设备(SSH客户端)会将访问的内网数据,通过SSH隧道安全传输到攻击者。http://epo.alicdn.com/image/464211ovmcb0.png


2.5锁屏勒索
LokiBot成功诱导用户激活设备管理后,隐藏在后台,执行恶意代码。若用户检测到恶意软件,尝试卸载、控制端下发DeleteApp或Go_Crypt指令,都会触发设备锁定,加密用户设备文件代码。下图取消设备管理权限,触发执行CriptActivity$mainActivity,实施锁屏勒索。
http://epo.alicdn.com/image/464212nb1k40.png


AES加密设备SD目录下所有文件,并将原文件删除。
http://epo.alicdn.com/image/464213hpaqj0.png


通过向设备Window添加flag=FLAG_WATCH_OUTSIDE_TOUCH|FLAG_LAYOUT_IN_SCREEN|FLAG_NOT_FOCUSABLE的View,使用户无法使用手机,恐吓用户设备文件被加密,必须通过比特币支付$70。BTC支付地址硬编码在资源文件里,根据交易地址可查询到,该账户2015年7月份发生第一笔交易,今年2月开始交易频繁,近期交易呈下降趋势,账户共发生1341笔交易,共计收入48.821BTC。http://epo.alicdn.com/image/464214aips90.png


Sample sha256





C&C
http://updddatererb1.gdn/sfdsdfsdf/http://tyfgbjyf.xyz/sfdsdfsdf/
http://dghooghel.com/sfdsdfsdf/http://sdtyoty.gdn/sfdsdfsdf/
http://rthrew.gdn/sfdsdfsdf/http://spirit7a.pw/sfdsdfsdf/
http://cofonderot.top/sfdsdfsdf/
http://sdfsdfsf.today/sfdsdfsdf/
http://sdfsdfsf.gdn/sfdsdfsdf/
http://dgdfgdfg.top/sfdsdfsdf
http://profitino365.com/sfdsdfsdf
http://sdfsdgfsdfsdfsd.info/sfdsdfsdf/
http://showtopik.gdn/tosskd/
http://showtopik.xyz/kdlhoi
http://showtopics.biz/saddasd/
http://tescoy.com/asffar929/
http://pornohab24.com/dklska/
http://185.209.20.28/sdfsdfdsf/
http://185.206.145.22/sfdsdfsdf/
http://185.165.29.29/dover/
http://185.110.132.60/sfdsdfsdf/
http://217.172.172.10/adminlod/
http://217.23.6.14/adminlod/
http://94.75.237.86/sfdsdfsdf/
http://85.93.6.104/sfdsdfsdfhfghf/
http://77.72.84.48/gslrmgt/


0x3安全建议
“LokiBot”为例,黑客以移动设备作为跳板入侵企业内网以多次出现,因此企业应加强防范措施,严格限制不可信设备连接内网,加强员工网络安全意识。而对于普通用户,下载应用请到官方网站或安全应用市场,切勿点击任何色情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接,安装安全防护软件,定期进行病毒查杀。


参考
[1]   模拟器检测https://github.com/strazzere/anti-emulator
[2]   新型BankBot木马解析
https://jaq.alibaba.com/community/art/show?articleid=783
BankBot AvPass分析
https://jaq.alibaba.com/community/art/show?spm=a313e.7916648.0.0.3775bb8euvWFHg&articleid=1028
[3]   实战SSH端口转发https://www.ibm.com/developerworks/cn/linux/l-cn-sshforward/

本文由阿里聚安全整理发布,转载请注明出处,原文链接:http://jaq.alibaba.com/community/art/show?&articleid=1195

筱沫 发表于 2017-11-9 10:13

虽然看不懂,但是感觉好NB的样子

zzfmsn 发表于 2017-11-9 10:39

虽然看不懂,还是要感谢下

akinet 发表于 2017-11-9 10:41

木马也这么先进了!

gengroot 发表于 2017-11-9 10:50

虽然现在看不懂但是感觉很牛逼的样子

huangxu 发表于 2017-11-9 10:50

木马居然这么厉害,注意了

wei00514 发表于 2017-11-9 11:29

虽然看不懂,还是要感谢下

小冬 发表于 2017-11-9 11:54

谢谢分享

sk34943363 发表于 2017-11-9 12:42

谢谢分享兄弟呀

vanapple1 发表于 2017-11-9 13:32

我咋感觉你发错区了呢。
页: [1] 2 3 4
查看完整版本: 木马开启智能识别?深度解析新型变形恶意软件LokiBot!