由威胁分析人员Augusto Remillano II,Mohammed Malubay和Arvin Roi Macaraeg撰写)
LokiBot具有收集敏感数据(如密码和加密货币信息)的能力,证明其背后的参与者已投入资金来发展威胁。过去,我们看到过一个利用远程代码执行漏洞利用Windows Installer服务提供LokiBot,使用ISO映像的Lokibot变体以及使用隐写术具有改进的持久性机制的变体的运动。最近,我们发现了LokiBot(被趋势科技检测为Trojan.Win32.LOKI),它冒充了流行的游戏启动器,以诱骗用户在其计算机上执行它。进一步的分析表明,此变体的示例使用了一个古怪的安装例程,该例程涉及删除已编译的C#代码文件。
这种不寻常的LokiBot变体使用了“交付后编译”检测规避技术,并被 趋势科技解决方案内置的机器学习检测功能Troj.Win32.TRX.XXPE50FFF034 主动检测和阻止。
技术分析
感染始于一个文件,该文件可能是Epic Games商店的安装程序。该伪造的安装程序是使用NSIS(Nullsoft脚本安装系统)安装程序创作工具构建的。在此活动中,恶意的NSIS Windows安装程序使用Epic Games的徽标(Fortnite等流行游戏背后的开发公司)诱骗用户以为它是合法的安装程序。
图1.以游戏安装程序为幌子的LokiBot恶意软件安装程序的文件图标
执行后,恶意软件安装程序会在受影响计算机的“%AppData%目录”中删除两个文件:C#源代码文件和.NET可执行文件。
图2.安装程序脚本的屏幕截图
对.NET可执行文件的进一步分析显示,文件严重混淆,其中包含大量垃圾代码,使反向工程更加困难。
图3.屏幕截图显示了已删除的.NET可执行文件的主要功能
然后,.NET可执行文件将在受感染的设备中读取并编译删除的C#代码文件,该文件名为“ MAPZNNsaEaUXrxeKm”。
图4.代码片段的屏幕快照显示了可以在二进制文件中找到的部分垃圾代码(顶部),以及显示了如何读取和编译已删除的C#代码文件的代码(底部)
编译C#代码文件后,二进制文件将使用InvokeMember函数调用C#代码文件中存在的EventLevel函数。被调用的函数将解密并加载嵌入其中的加密汇编代码。
图5.代码截图显示了二进制文件调用EventLevel()函数
图6.代码片段显示了如何解密汇编代码
LokiBot示例的安装例程结合了两种技术来逃避检测:之一,它使用C#源代码来逃避仅针对可执行二进制文件的防御机制。此外,它还使用嵌入在C#代码文件中的加密汇编代码形式的混淆文件。
感染的最后阶段是执行LokiBot有效负载。在野外最活跃的信息窃取者中,对安装和混淆机制的这些调整表明,LokiBot在不久的将来不会放慢速度。
601866资金流向简述什么是波浪理论,如何运用波浪理论判断起涨点暂定多来米123,炒外汇开户,注意这几个操作重点! 把K线图设置为15秒钟图形,当其中现招盘锤子形,红卫兵,启影星等K线图形或K线组...
CNNVD编号:CNNVD-201908-1862 危害等级: CVE编号: CVE-2019-15329 漏洞类型: 跨站请求伪造 发布时间: 2019...
首先我们来说说优先股都有哪些种类,优先股主要分为以下四类: 黑客是怎么查询别人的信息 第一类:累积优先股和非累积优先股。当公司在一个时间内所盈利不能够支付优先股股票利息时,日后优先股的股东对往年...
俗话说得好,最好的防守就是进攻,而这句话同样适用于信息安全领域。接下来,我们将给大家介绍15个最新的网络安全网站。无论你是开发人员、安全专家、审计人员、或者是渗透测试人员,你都可以利用这些网站来提升...
2020年11月6日,上海——全球领先的生物制药公司诺和诺德与微软在第三届中国国际进口博览会现场共同宣布,将充分利用诺和诺德在糖尿病预防及治疗领域的丰富知识、能力和经验,结合微软智能云Azure及人工...
宝宝的每一次成长都离不开父母的引导,其实很多时候孩子成长的同时父母也是一次蜕变的过程,初为人父人母第一次都显得那么生疏却又激动。比如听见宝宝叫爸爸妈妈的那种喜悦是难以言喻的,那么应该怎样教宝宝学说话呢...