黑客劫持了LokiBot恶意软件 并在暗网出售

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

一位专家发现证据证明当前分发的LokiBot恶意软件样本被第三个演员“劫持”。

根据Twitter手柄“ d00rt ” 上网的研究人员称,在野外分发的LokiBot恶意软件样本的样本是原始样本的修改版本。

Lokibot恶意软件自2015年以来一直活跃,它是一个参与许多malspam活动的信息服务商,旨在从网络浏览器,电子邮件客户端,管理工具收集凭据,并且还用于定位加密币钱包所有者。
最初的LokiBot恶意软件是由一名黑客在线开发和销售的,该黑客通过别名“lokistov”(aks Carter)上网。

恶意代码最初在许多黑客论坛上以高达300美元的价格进行广告宣传 , 后来其他威胁演员开始以低于80美元的价格在地下网络犯罪中提供它。

据d00rt说,网上存在这种扩散的解释,威胁行为者可能“劫持”了原始恶意软件,即使没有直接访问原始源代码,他也能够为其他黑客提供设置的可能性。他们自己的域名用于接收被盗数据。

专家推翻了许多恶意软件,发现了五个对C&C服务器的引用,其中四个使用Triple DES算法加密,另一个使用简单的XOR密码。

恶意软件使用“Decrypt3DESstring”函数解密加密的字符串并获取命令和控制服务器的URL。

根据该专家的说法,他分析的样本中发现的Decrypt3DESstring与LokiBot恶意软件以前的变种中提供的不同

在新样本中发现的新Decrypt3DESstring函数始终从受XOR保护的字符串返回值,而不是Triple DES字符串。

“在这个版本的所有LokiBot样本中,3DES保护的URL总是相同的,”研究人员写道。

“因此,这些网址从未使用过。Decrypt3DESstring返回3DES解密缓冲区。这应该是这个函数的理想行为,但正如前面所描述的,每次Decrypt3DESstring被调用时,它返回一个解密 URL 与XOR或加密 URL 与XOR“。

黑客劫持了LokiBot恶意软件 并在暗网出售

专家解释说,任何拥有LokiBot新样本的人都可以使用简单的HEX编辑器修改程序并添加其自定义URL以接收被盗数据。

“最新(或扩展最多)的LokiBot样本都经过修补。有一个名为“x”的新部分,其中是一个 xored url 。该网址是控制面板网址。牢记这一点,创建一个构建器非常容易,用新的控制面板创建LokiBot样品并将其出售。您可以使用十六进制编辑器或简单脚本将 xored url 更改为 另一个 xored url 。“继续专家发布的分析。

“ 在地下论坛中存在一个能够
使用自定义控制面板创建新LokiBot样本的构建器。正如我之前解释的那样,这个构建
器用xor加密控制面板并将其写入 “x”部分。

d00rt发现了几个可在地下市场上出售的LokiBot样品,这些样品通过使用地下论坛中的建筑物进行了修补。

LokiBot恶意软件的作者同时推出了新版本2.0,他在很多论坛上都提供了它。

解密函数还用于获取使恶意软件在系统上持久化所需的注册表值,但由于在修补解密函数后仅返回URL,因此新设备重启后新的LokiBot示例无法重新启动。

该专家还发现,为修补恶意软件而引入的修改在恶意代码中引入了一些错误。

LokiBot恶意软件的某些字符串已加密,恶意软件使用Decrypt3DESstring函数对其进行解密。修补此函数后,它始终返回与位于“x”部分的XORed URL相同的字符串。

“以下是持久性中使用的注册表项名称:
Software \ Microsoft \ Windows \ CurrentVersion \ Run
此注册表项使用3DES算法加密。当修补的LokiBot尝试获得持久性时,它使用Decrypt3DESstring来解密注册表项名称。但是因为修补了该函数,返回的字符串是“x”部分的 url ,而不是注册表项。

CE安全网

发表评论

您必须登录才能发表评论!