吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12790|回复: 31
收起左侧

[PC样本分析] 木马开启智能识别?深度解析新型变形恶意软件LokiBot!

[复制链接]
阿里聚安全 发表于 2017-11-9 10:06
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 阿里聚安全 于 2017-11-9 10:22 编辑

作者:钱盾反诈实验室


0x1.木马介绍
近期,Client-SideDetection披露“LokiBot”木马,钱盾反诈实验室快速响应分析,发现“LokiBot”木马前身是由“BankBot”演变而来。与其他银行劫持木马相比“LokiBot”具备其独特功能,可以根据不同目标环境发起相应攻击,比如主动向用户设备发起界面劫持、加密用户设备数据,勒索欺诈用户钱财、建立socks5代{过}{滤}理和SSH隧道,进行企业内网数据渗透。“LokiBot”传播途径通过恶意网站推送虚假的“Adobe Flash Playe”、“APK Installer”、“System Update”、“Adblock”、“Security Certificate”等应用更新,诱导用户安装。运行截图如下:



0x2.样本分析


2.1恶意代码解析
LokiBot关键组件和代码块如下:

MainActivity:恶意代码执行入口。模拟器检查[1]、图标隐藏、引导激活设备管理、启动CommandService和InjectProcess。
Boot:Receiver组件,恶意代码执行入口。核心服务CommandService保活。
CommandService:核心服务,根据远程控制指令执行恶意代码。
InjectProcess:界面劫持服务。
Crypt模块:加密文件、锁定设备实施勒索。
Socks模块:实现Socks5协议和SSH隧道,使受控设备所在内网服务器和攻击者主机之间能进行流量转发。

2.2 远程控制
首先上传设备deviceId、锁屏状态、网络类型至控制端(**92500503912**:Loki:1:wifi)。控制端以用户deviceId作为肉鸡ID,并下发指令数据,触发恶意行为。指令包括:
指令功能
Send_SMS利用受害人身份给任意用户发送恶意短信
Send_USSD拨打任意号码
Go_Contacts上传设备联系人
Gethistori上传浏览器历史记录
Start_AllApp上传设备安装应用包名
Update Bots更新LokiBot
Forward_call设置呼叫转移
Go_Leading_requestWebView加载恶意网址
Go_Passwords设置锁屏密码
DeleteApp自身卸载,取消激活设备管理,触发勒索
Go_Smsmnd设置默认短信应用
GetAllSms获取用户短信记录
DellSms删除最新一条短信
Send_spam短信蠕虫,群发恶意内容给用户联系人
App_call启动任意app
Shells执行shell
Go_Crypt锁定用户设备,并加密设备文件
Go_Scrynlock锁定设备,使用户无法使用
startSocks安装Socks5代{过}{滤}理
Start_Inject启动InjectProcess,执行银行应用劫持

LokiBot会根据采集到的用户数据,发起相应的攻击。攻击手段主要包括以下三种方式:
  • 用户设备安装有银行或社交类app会发起应用劫持攻击;
  • 用户网络环境属于某企业,会进行内网渗透;
  • 直接发送DeleteApp或Go_Crypt指令,实施勒索敲诈。

2.3 应用劫持
劫持过程与“BankBot”木马[2]相似,都是上传用户安装列表,在云端配置劫持界面,后台监视应用,一旦用户开启劫持列表内的应用,就弹出钓鱼界面覆盖真实应用,诱导用户输入账户和密码。由于此类木马生命周期短,“LokiBot”则采取主动发起应用劫持。方式包括:
  • 通过远程指令启动待劫持应用;
  • 主动弹出伪造的app Notification,一旦用户点击就弹出钓鱼界面


2.4内网渗透
若受控设备处于内网环境,“LokiBot”下发startSocks命令,建立Socks5代{过}{滤}理和SSH安全隧道[3],攻击者这样以移动设备为跳板,入侵内网,窃取企业数据资产。
“LokiBot”木马内网渗透过程:
  • 木马(SSH客户端)主动连接攻击者主机(SSH服务端),建立SSH连接,并设置端口转发方式为远程端口转发,这样完成SSH Client端至SSH Server端之间的安全数据通讯,并能突破防火墙的限制完成一些之前无法建立的TCP连接。
  • 木马作为socks服务端创建一个socket,等待本机的SSH客户端(木马)连接,连接成功后就可以通过SSH安全隧道进行内网数据渗透。


建立SSH安全传输隧道
控制端下发的”startSocks”数据指令还包括:攻击者主机IP、木马作为socks服务器要监听的端口、木马连接攻击者主机(SSH服务器)的用户名、密码信息。木马创建一个异步任务,内部使用JSch包提供的接口实现攻击端主机连接,端口转发设置。


socks代{过}{滤}理
木马实现了一套socks5协议,在内网服务器和攻击者之间转发数据流量。这样木马设备(SSH客户端)会将访问的内网数据,通过SSH隧道安全传输到攻击者。


2.5锁屏勒索
LokiBot成功诱导用户激活设备管理后,隐藏在后台,执行恶意代码。若用户检测到恶意软件,尝试卸载、控制端下发DeleteApp或Go_Crypt指令,都会触发设备锁定,加密用户设备文件代码。下图取消设备管理权限,触发执行CriptActivity$mainActivity,实施锁屏勒索。



AES加密设备SD目录下所有文件,并将原文件删除。



通过向设备Window添加flag=FLAG_WATCH_OUTSIDE_TOUCH|FLAG_LAYOUT_IN_SCREEN|FLAG_NOT_FOCUSABLE的View,使用户无法使用手机,恐吓用户设备文件被加密,必须通过比特币支付$70。BTC支付地址硬编码在资源文件里,根据交易地址可查询到,该账户2015年7月份发生第一笔交易,今年2月开始交易频繁,近期交易呈下降趋势,账户共发生1341笔交易,共计收入48.821BTC。


Sample sha256
1.png
2.png

3.png

C&C
http://updddatererb1.gdn/sfdsdfsdf/http://tyfgbjyf.xyz/sfdsdfsdf/
http://dghooghel.com/sfdsdfsdf/http://sdtyoty.gdn/sfdsdfsdf/
http://rthrew.gdn/sfdsdfsdf/http://spirit7a.pw/sfdsdfsdf/
http://cofonderot.top/sfdsdfsdf/
http://sdfsdfsf.today/sfdsdfsdf/
http://sdfsdfsf.gdn/sfdsdfsdf/
http://dgdfgdfg.top/sfdsdfsdf
http://profitino365.com/sfdsdfsdf
http://sdfsdgfsdfsdfsd.info/sfdsdfsdf/
http://showtopik.gdn/tosskd/
http://showtopik.xyz/kdlhoi
http://showtopics.biz/saddasd/
http://tescoy.com/asffar929/
http://pornohab24.com/dklska/
http://185.209.20.28/sdfsdfdsf/
http://185.206.145.22/sfdsdfsdf/
http://185.165.29.29/dover/
http://185.110.132.60/sfdsdfsdf/
http://217.172.172.10/adminlod/
http://217.23.6.14/adminlod/
http://94.75.237.86/sfdsdfsdf/
http://85.93.6.104/sfdsdfsdfhfghf/
http://77.72.84.48/gslrmgt/


0x3安全建议
“LokiBot”为例,黑客以移动设备作为跳板入侵企业内网以多次出现,因此企业应加强防范措施,严格限制不可信设备连接内网,加强员工网络安全意识。而对于普通用户,下载应用请到官方网站或安全应用市场,切勿点击任何色情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接,安装安全防护软件,定期进行病毒查杀。


参考
[1]   模拟器检测https://github.com/strazzere/anti-emulator
[2]   新型BankBot木马解析
https://jaq.alibaba.com/community/art/show?articleid=783
BankBot AvPass分析
https://jaq.alibaba.com/community/art/show?spm=a313e.7916648.0.0.3775bb8euvWFHg&articleid=1028
[3]   实战SSH端口转发https://www.ibm.com/developerworks/cn/linux/l-cn-sshforward/

本文由阿里聚安全整理发布,转载请注明出处,原文链接:http://jaq.alibaba.com/community/art/show?&articleid=1195

免费评分

参与人数 8吾爱币 +6 热心值 +8 收起 理由
利刃 + 1 + 1 谢谢@Thanks!
一叶障目 + 1 感谢大佬的提醒!学习了!
mhwuliao + 1 + 1 热心回复!
策士 + 1 用心讨论,共获提升!
lazygoat644 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
hlink1021 + 1 + 1 热心回复!
52鱼鱼 + 1 + 1 用心讨论,共获提升!
oxxo119 + 1 + 1 我很赞同!矛和盾 永远的战斗

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

筱沫 发表于 2017-11-9 10:13
虽然看不懂,但是感觉好NB的样子
zzfmsn 发表于 2017-11-9 10:39
akinet 发表于 2017-11-9 10:41
gengroot 发表于 2017-11-9 10:50
虽然现在看不懂但是感觉很牛逼的样子  
huangxu 发表于 2017-11-9 10:50
木马居然这么厉害,注意了
wei00514 发表于 2017-11-9 11:29
虽然看不懂,还是要感谢下
小冬 发表于 2017-11-9 11:54
谢谢分享
sk34943363 发表于 2017-11-9 12:42
谢谢分享兄弟呀
vanapple1 发表于 2017-11-9 13:32
我咋感觉你发错区了呢。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 05:28

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表