Loki窃密勒索病毒分析

  • A+
所属分类:逆向工程
Loki为2020年6月首次出现的一款新型窃密勒索病毒,除了加密勒索功能外,还具备窃取摄像头,屏幕,桌面文件,浏览器密码,比特币钱包和vpn密码等重要数据、远程恶意文件执行的功能。目前该木马仅开启了数据窃取功能,尚未启动远程恶意文件执行和加密勒索。

病毒基本信息

病毒样本Hash:

36cbe272ce45461856a7c0145347f42f
virustotal多个引擎判断为勒索病毒

Loki窃密勒索病毒分析

Anyrun沙箱运行提示有数据窃取行为。

Loki窃密勒索病毒分析

Loki 窃密勒索病毒是由.NET编写的程序,编译时间是2020年6月24日。

Loki窃密勒索病毒分析

病毒静态分析

程序未进行加壳混淆,dnspy直接载入即可清晰的看到该病毒具备的功能模块,从该病毒的类和方法名就可以看出,Loki Stealer病毒具备ransomware、stealer、loader三大块的功能。其中stealer功能支持窃取非常多类型的数据,包括Browser(浏览器存储密码、访问记录、cookie)、Credit_Cards(信用卡凭证)、WebCam(摄像头影像)、Grabber(文件掠夺)、Screen(屏幕截图)、FileZilla(FTP数据)、Steam(Steam平台数据)、Telegram(tg数据)、Wallets(虚拟货币钱包数据)等。

Loki窃密勒索病毒分析

在loki.setting中可以看到该病毒的配置,可以看到该病毒只开启了grabber数据窃取功能,ransomware和loader功能都还未开启,但是相应的功能代码都已具备。

Loki窃密勒索病毒分析

借助IDA PRO可以很清楚的看到各个功能函数的控制流程:

Loki窃密勒索病毒分析

样本在运行后,初始化程序模块并获得文件根目录,之后创建文件夹存储窃取的数据。首先窃取的是webcam、screen、FileZilla、Telegram的数据。

Loki窃密勒索病毒分析

然后是Steam数据,以及敏感文件的遍历窃取,此处会判断loader是否启用,没启用的话就会跳过
Loki窃密勒索病毒分析
此处看一下窃取敏感文件的代码,代码位于loki.loki.Utilies.grabber。发现攻击者会遍历文件目录的.txt、.doc、.cs、.cpp、.dat、.docx、.log、.sql后缀的文件,并新建文件夹将这些后缀的文件复制进去。可以看出,攻击者重点想要窃取的是敏感数据文档、数据库文件、开发代码文件、日志文件、脚本文件以及可能保存敏感信息的txt文件。

Loki窃密勒索病毒分析

最后窃取的是浏览器保存的各类数据、虚拟货币钱包数据。

Loki窃密勒索病毒分析

数据窃取完毕后,会将数据上传到攻击者指定的服务器,上传完成后会删除收集到的敏感数据的文件夹,最后执行勒索加密功能。

Loki窃密勒索病毒分析

看一下上传窃取数据的代码,是采用http的方式,将窃取的数据以POST数据包的形式发送到攻击者服务器。
Loki窃密勒索病毒分析
加密勒索部分,采用的是AES加密,加密后将文件后缀修改为.loki,最后在相应目录下生成HowToDecrypt.txt的勒索信息文件。
Loki窃密勒索病毒分析
Loki窃密勒索病毒分析

Loki窃密勒索病毒分析

动态行为分析

运行样本,注意该样本需要安装.net framework 4.0才能正常运行。但是即使是安装了.net,该样本也无法正常运行,可能是程序本身兼容性的原因。

Loki窃密勒索病毒分析
虽然不能完全正常运行,但是使用火绒剑也捕捉到了该样本的部分行为。
遍历文件目录
Loki窃密勒索病毒分析
摄像头截取
Loki窃密勒索病毒分析
屏幕截图窃取

Loki窃密勒索病毒分析

窃取的信息都在
C:Userswin7AppDataLocalTempAX754VD.tmp目录下

Loki窃密勒索病毒分析

病毒行为梳理

Loki勒索窃密病毒的基本行为流程如下:

1、获取受害机器系统信息,获取当前文件跟目录,遍历文件目录,初始化程序执行;
2、窃取受害机器屏幕截图、摄像头截图、FTP数据、Telegram通讯软件数据,将数据拷贝到统一目录保存;
3、获取Steam游戏平台数据,将数据拷贝到统一目录保存;
4、判断Loader加载器模块是否启用,若启用则加载远程可执行恶意文件执行,若未启用则跳过;
5、窃取受害机器.txt、.doc、.cs、.cpp、.dat、.docx、.log、.sql后缀的文件,将数据拷贝到统一目录保存;
6、窃取受害机器浏览器保存的账户和浏览记录等数据,虚拟货币钱包数据,将数据拷贝到统一目录保存;
7、将保存窃取数据的文件目录打包,用HTTP协议以POST方式传输窃密数据到远端服务器;
8、删除受害机器上收集拷贝的窃密数据;
最后执行勒索加密模块,对受害机器文件进行加密,加密后缀为.loki。


原文来源:第59号

Loki窃密勒索病毒分析

本文始发于微信公众号(网络安全应急技术国家工程实验室):Loki窃密勒索病毒分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: