LokiBot恶意软件分析
2020-06-08 11:50:00 Author: www.4hou.com(查看原文) 阅读量:352 收藏

LokiBot是一款可以窃取敏感数据的恶意软件,包括口令、加密货币信息等。之前,研究人员就发现一个利用远程代码执行漏洞来使用Windows Installer服务来传播LokiBot、一个使用ISO镜像的Lokibot变种和一个使用隐写术改善驻留机制的变种。近期,研究人员发现一个伪装成游戏启动器来诱使用户执行的LokiBot。进一步分析表明,该变种的样本使用了一个奇怪的安装程序,其中释放了一个编译的C#代码文件。

而使用“compile after delivery”(交付后编译)检测绕过技术的该变种,之前被机器学习检测平台检测和拦截过。

技术分析

感染是从一个伪装为Epic Games store安装器的文件开始的。该伪造的安装器是使用NSIS安装器认证工具构造的。恶意NSIS Windows安装器使用了Epic Games的logo来诱使用户将其看作一个合法的安装器。

图 1. LokiBot恶意软件安装器使用的文件图标

恶意软件安装器执行后会释放2个文件:受感染机器的%AppData%目录中的一个C#源代码文件和.NET可执行文件。

图 2. 安装器脚本截图

进一步分析.NET可执行文件发现了一个严重混淆的文件,其中含有大量的垃圾代码,作用是使逆向工程变得非常困难。

图 3. 表明释放的.NET可执行文件的函数代码

该.NET可执行文件会读取和编译释放的 C# 代码文件——名字是MAPZNNsaEaUXrxeKm。

图 4. 二进制文件中的垃圾代码(上)表示释放的代码读取和编译的代码(下)

编译 C# 代码文件后,二进制文件会使用InvokeMember函数来调用C# 代码文件中的EventLevel 函数。调用的函数会解密和加载嵌入的加密的汇编代码。

图 5.调用EventLevel()函数的二进制文件的代码 

图 6. 表明汇编代码解密过程的代码段

LokiBot 样本的安装路径融合了两种技术来绕过检测:

· 第一,使用C# 源码来绕过防护机制,目标可执行二进制文件

· 此外,使用 C# 源码文件中嵌入的加密的汇编代码形式的混淆文件

感染的最后一阶段是LokiBot payload的执行。在这些活跃的信息窃取器中,对安装和混淆机制的调整表明,LokiBot未来将会继续发展。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/lokibot-impersonates-popular-game-launcher-and-drops-compiled-c-code-file/如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/rM1L
如有侵权请联系:admin#unsafe.sh