LokiBot家族静态分析过程分享

公众号现在只对常读和星标的公众号才展示大图推送，

建议大家把听风安全设为星标，否则可能就看不到啦！

----------------------------------------------------------------------

样本选取

查看静态特征

脱壳

通过对文件的基本分析发现该文件使用了壳保护。所以进行分析的话要先进行脱壳。

脱壳可以结合沙箱来进行脱壳，首先使用微步进行查看：          

可以知道该样本使用了WriteProcessMemory函数

BOOL WriteProcessMemory(  [in]  HANDLE  hProcess,  [in]  LPVOID  lpBaseAddress,    目标地址  [in]  LPCVOID lpBuffer,     ；预备写入的地址    [in]  SIZE_T  nSize,        ；写入数据大小    [out] SIZE_T  *lpNumberOfBytesWritten);

作用：将数据写入指定进程中的内存区域。

通过查找确定了可疑函数，对该函数下硬件断点：

下完断点后点击运行到断点：

查看stdcall窗口，其中的由上到下对应的参数都是WriteProcessMemory的参数。主要关注的是2，3，4这三个参数，通过这三个参数可以判断出我们需要dump文件的起始地址以及文件大小。

以下是多次运行到改断点参数的值：

040AF0F8 40002887668 138000289B410 42000289F61C 2000289F828 2000

通过这些参数我们可以知道该文件的大小是1A000，通过savedata这个参数可以对文件进行dump.

savedata 1234，0x040AF0F8,0x1A000

savedata命令格式：文件名，起始地址，文件大小

将dump出的文件载入IDA中发现可以看到函数，说明成功了。

恢复函数名

该样本将函数名进行隐藏，只有当需要调用该函数时才会接收索引值以及API函数名称的的hash值作为参数进而将函数名恢复。

sub_40317B函数中存在一段这样的汇编代码，这是通过PEB获取kernel32.dll地址汇编代码的一部分，通过这块可以判断出

下面时parse_export_tbl的函数，两部份结合起来就是通过peb来获取函数名的过程。

这块就时hash解码的过程

通过上述分析我们知道了sub_4030A5函数的主要作用就是通过索引值以及函数名的hash值来查找函数的，我们想要获取相关函数名可以通过对这个命名函数的返回值下断点进而来跟踪，同时他会直接通过call eax来调用函数，而不是将函数名恢复后调用原函数，所以通过运行程序后dump程序无发恢复函数名。

这是一个恢复的函数，

通过上述的对比可以知道是直接通过调用函数来实现功能的，而不是将函数恢复或者存储到某个地方以后再运行的，属于调用哪个函数便恢复哪个函数，进而防止一次性恢复后全部dump出来。

通过上述分析我们确定了恢复函数名与调用的地方，但是我们知道该样本的函数名是用一次恢复一次需要多次动调，这样比较麻烦，对于这种恢复函数名我们有四种方案。

1.一个一个动调恢复（费人）

2.收集到所有的函数名hash值，然后自己分析解密函数，自己编写脚本恢复（大佬你们谁写了发我。。）。

3.在xdb64中编写脚本，直接输出函数名和调用地址。

https://blog.csdn.net/yan_star/article/details/113621948这个文章写了怎么编写python脚本，感兴趣可以去看看。

4.通过下条件断点，使得直接输出函数名和调用函数地址。

关键节点有两个1.4030c0中存储的是函数名称

从这个截图中可以看到三个信息，1.下条件断点的地址 2.条件断点的内容 3.函数名。通过这我们可以获得函数名。

2.在403260处下条件断点，根据堆栈中的返回值我们可以知道哪个函数调用了该函数名恢复函数，进而方便我们后续恢复函数名。

这是几个输出列子，其中Loadllibrary是重复出现的，可以直接全文替换。

命令行参数检查

网络初始化和互斥体创建

窃取信息

在该函数中，首先构造两个数组，一个是全局变量充当标识符，还有一个包含实际窃取数据的列程。

查看第一个窃密函数，其中执行的操作是首先判断是否存在这个软件，然后根据不同的版本再进行对应的窃密操作。

包装函数会给每个窃密函数绑定一个全局变量标识符，这样在解析被盗数据时，C2 服务器将知道如何处理/存储它。

firefox browsericedragon browsersafari browserk-meleon browser seamonkey browserflock browserblackhawk browserlunascape browserbrowsers general dataopera browserqtweb internet browserqupzilla browserinternet exploreropera passwordscyberfox browserpale moon browserwaterfox browserpidgin passwordssuperputtyftpshellnotepadplusplusmyftpftpboxsherrod ftpftpnownexusfile ftpnetsarang xftpeasyftpsftpnetdriveableftpjasftpautomizeableftpcyberduckfullsyncftpinfolinasftpfilezillastaff ftpblazeftpfastream ftpgoftpestsoft alftpdeluxe ftpghisler wcx ftpftpgetterws ftpsite xml filesfull tilt pokerpokerstarsexpandrivesteedflash fxpinsoftware novaftpnetdriveghisler wcx ftpsmart ftpfar manager ftpbitvise bvsshclientvncmsecuresyncoveryfreshwebmaster freshftpbitkinexultrafxpftp nowsecurefxodin secure ftp expertnch software flingnch software classicftpkittyputtymozilla thunderbirdfoxmailpocomailincredimailgmail notifier prodesksoft checkmailwinftp clientwinscp32bitftpftp navigatorsoftwarenetz mailingoperamailpostboxmozilla fossamailmailbox ini filewinchips user accountoutlookymail2trojita imap clienttrulymailspn filesto dodeskliststickies images and rtfnotefly notesconceptworld notezillamicrosoft sticky noteskeepass databasesenpass db filesmy roboform1passwordmikrotik winbox

该函数主要负责将获取的信息保存到缓存区，并且获取本机的一些信息然后一同打包发送。

先根据互斥体进行判断是否是同一个机器，接着获取操作系统版本信息。

前置环境搭建。

由于上线包建立connect需要返回值，所以修改kali的ip,将他当作一个c2服务器，进而进行连接请求时会返回一个值，可以获得上线包。

kali的设置：kali中直接修改ip地址，使得ip为目标c2的地址。

使用python3启动一个服务

在kali的设置中选择网络适配器，先添加一个LAN区段，然后将kali的LAN区段设置为该区段。

‍‍

为了持久化，Lokibot 将自身复制到%APPDATA%文件夹内的一个文件夹，创建一个新的运行密钥，并隐藏创建的目录和复制的可执行文件。