Loki:流行的 Mythic 框架的新私人代理

admin 2024年9月13日18:01:43评论22 views字数 3081阅读10分16秒阅读模式
Loki:流行的 Mythic 框架的新私人代理

2024 年 7 月,我们发现了之前未知的 Loki 后门,该后门被用于一系列针对性攻击。通过分析恶意文件和开源,我们确定 Loki 是开源 Mythic 框架代理的私有版本。

Loki:流行的 Mythic 框架的新私人代理

代理的解密字符串之一

我们的解决方案将此威胁检测为 Backdoor.Win64.MLoki,以将其与其他同名恶意软件系列区分开来,例如 Loki Bot、Loki Locker 等。

Loki:流行的 Mythic 框架的新私人代理

Mythic 框架

2018 年,开发人员 Cody Thomas 创建了自己的开源框架,名为 Apfell,用于对受感染的 macOS 系统进行后渗透。两年后,几位开发人员加入了该项目,该框架变得跨平台,并更名为 Mythic。当时现有框架的主要问题是创建不同代理(客户端)的不便,缺乏用于管理它们的统一接口,以及不支持模块化。Mythic 的优势在于它允许使用任何语言、任何平台和所需功能的代理。在撰写本文时,大约有二十多个代理已在 Mythic 官方存储库中发布。

Loki:流行的 Mythic 框架的新私人代理

技术细节

我们发现的 Loki 代理是另一个框架 Havoc 的代理的 Mythic 兼容版本。Loki 修改继承了 Havoc 的各种技术,使代理的分析复杂化,例如加密其内存映像、间接调用系统 API 函数、通过哈希搜索 API 函数等。但是,与 Havoc 的代理不同的是,Loki 被分为加载程序和 DLL,其中实现了恶意软件的主要功能。

代理的两个版本都使用 djb2 哈希算法来隐藏 API 函数和命令。然而,在 Mythic 版本中,这被略微修改了。Havoc 特工使用了 Daniel Bernstein 的原始幻数 5381,但在 Loki 中,它被 2231 取代。

Loki:流行的 Mythic 框架的新私人代理
Loki:流行的 Mythic 框架的新私人代理

Loader 功能

执行时,Loki 加载程序会生成一个数据包,其中包含有关受感染系统的信息,例如操作系统版本、内部 IP 地址、用户名、处理器架构、当前进程的路径及其 ID,并将其加密发送到位于 https://y 的命令和控制 (С2) 服务器。nsitelecom[.]ru/certcenter 的作为响应,服务器发送一个 DLL,加载程序将其放置在受感染设备的内存中 - 命令处理和与 C2 服务器的进一步通信在此库中进行。现在,我们将查看加载程序的两个版本,它们在 5 月和 7 月观察到其活动。

5月 加载器版本

Loki:流行的 Mythic 框架的新私人代理

7 月 加载器 版本

Loki:流行的 Mythic 框架的新私人代理

在 5 月观察到的加载程序版本与 7 月的样本略有不同。例如,早期版本使用 protobuf 协议进行数据序列化,而新版本则部分模拟 Ceos 代理的行为。

两个版本都使用相同的算法进行数据加密:首先,使用 AES 算法对收集到的信息进行加密,然后使用 base64 进行编码。但是,旧版本以明文形式发送一个 36 个字符的 UUID 以及加密数据,而新版本使用 base64 对其进行编码。

Loki:流行的 Mythic 框架的新私人代理

7 月版 Loki 在加密之前发送的数据示例,其中 UUID 显示在右侧

恶意软件的每个实例都有一个唯一的 UUID。5 月样本使用标识符 86cd8a56-1657-42ce-a0e8-587bf8144c05,而 7 月版本使用标识符 472719a8-e1ce-4a5c-9ab2-bb4d1139ae33。

Loki:流行的 Mythic 框架的新私人代理

AES 和 base64 加密后 7 月版本的流量

Loki:流行的 Mythic 框架的新私人代理

使用明文 UUID 加密后的 5 月版本的流量

作为对 C2 服务器的第一个请求的结果,服务器以 DLL 的形式返回一个有效负载,其中包含两个导出的函数:标准入口点 DllMain 和 Start 函数,加载程序调用该函数以将进一步的控制权转移到库。

Loki:流行的 Mythic 框架的新私人代理

主模块功能

在发现时,无法再从上述服务器下载有效负载。不过,通过详细分析,我们找到了大约 15 个其他版本的 loader 和 2 个活跃的 C2 服务器,最终从 5 月版本获得了主模块的样本。

Loki:流行的 Mythic 框架的新私人代理

主模块和加载程序一样,基于代理的 Havoc 版本,但支持的命令列表部分借鉴了其他 Mythic 代理。此列表不以纯文本形式存储在 DLL 中;相反,在库代码中指定了一系列哈希。当从服务器收到命令时,会对其名称进行哈希处理,并与存储在 DLL 中的哈希值进行比较。

Loki:流行的 Mythic 框架的新私人代理

处理命令哈希

Loki:流行的 Mythic 框架的新私人代理
Loki:流行的 Mythic 框架的新私人代理

隧道传输流量的工具

代理本身不支持流量隧道,因此为了访问私有网络段,攻击者使用第三方公开可用的实用程序。在多台受感染的计算机上,在包含 Loki 加载程序的目录中发现了 ngrok 实用程序。在其他情况下,发现 gTunnel 实用程序的实例在 svchost.exe 和 runtimebroker.exe 系统进程的上下文中运行。值得注意的是,与 ngrok 不同,它是使用 goReflect 进行修改的,以在内存中加载和执行,而不是从磁盘加载和执行。

Loki:流行的 Mythic 框架的新私人代理

受害者和分发

来自各个行业(包括工程和医疗保健)的十几家俄罗斯公司都遇到了这种威胁。但是,我们认为潜在受害者的数量可能更高。基于遥测数据以及检测到恶意软件的文件的名称(例如“смета_27.05.2024.exe”、“На_согласование_публикации_<предприятие>.rar”、“ПЕРЕЧЕНЬ_ДОКУМЕНТОВ”。ISO“等——指估计、特定企业的出版批准或文件列表),我们可以假设在几种情况下,Loki 会通过电子邮件到达受害者的计算机,毫无戒心的用户会自己启动文件。

Loki:流行的 Mythic 框架的新私人代理

归 因

在研究时,没有足够的数据将 Loki 归属于任何已知的群体。攻击者不是使用标准电子邮件模板来传播代理,而是可能会单独接近每个目标。我们也没有在受感染的机器上找到任何可以帮助归因的独特工具。攻击者似乎只优先考虑使用公开可用的实用程序进行流量隧道,例如 gTunnel 和 ngrok,以及用于修改它们的 goReflect 工具。

Loki:流行的 Mythic 框架的新私人代理

结论

开源后开发框架的普及率越来越高。尽管它们主要用于增强基础设施安全性,但攻击者越来越多地测试和应用各种框架来远程控制受害者的设备,并出于自己的目的对其进行修改,例如使检测和归因更加困难。

感染指标

July loader version
46505707991e856049215a09bf403701

May loader version
f0b6e7c0f0829134fe73875fadf3942f
796bdba64736a0bd6d2aafe773acba52
5ec03e03b908bf76c0bae7ec96a2ba83
0632799171501fbeeba57f079ea22735
97357d0f1bf2e4f7777528d78ffeb46e
f2132a3e82c2069eb5d949e2f1f50c94
7f85e956fc69e6f76f72eeaf98aca731
375cfe475725caa89edf6d40acd7be70
dff5fa75d190dde0f1bd22651f8d884d
05119e5ffceb21e3b447df49b52ab608
724c8e3fc74dde15ccd6441db460c4e4
834f7e48aa21c18c0f6e5285af55b607
e8b110b51f45f2d64af6619379aeef62

Main module
eb7886ddc6d28d174636622648d8e9e0

gTunnel
1178e7ff9d4adfe48064c507a299a628
dd8445e9b7daced487243ecba2a5d7a8

ngrok
4afad607f9422da6871d7d931fe63402

C2 addresses:
http://y[.]nsitelecom[.]ru/certcenter
http://document[.]info-cloud[.]ru/data
http://ui[.]telecomz[.]ru/data

Loki:流行的 Mythic 框架的新私人代理

原文始发于微信公众号(卡巴斯基网络安全大百科):Loki:流行的 Mythic 框架的新私人代理

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月13日18:01:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Loki:流行的 Mythic 框架的新私人代理http://cn-sec.com/archives/3164236.html

发表评论

匿名网友 填写信息