166
木馬開啟智能識別?深度解析新型變形惡意軟件LokiBot!
作者:錢盾反詐實驗室
0x1.木馬介紹
近期,Client-SideDetection披露“LokiBot”木馬,錢盾反詐實驗室快速響應分析,發現“LokiBot”木馬前身是由“BankBot”演變而來。與其他銀行劫持木馬相比“LokiBot”具備其獨特功能,可以根據不同目標環境發起相應攻擊,比如主動向用戶設備發起界麵劫持、加密用戶設備數據,勒索欺詐用戶錢財、建立socks5代理和SSH隧道,進行企業內網數據滲透。
“LokiBot”傳播途徑通過惡意網站推送虛假的“Adobe Flash Playe”、“APK Installer”、“System Update”、“Adblock”、“Security Certificate”等應用更新,誘導用戶安裝。運行截圖如下:
0x2.樣本分析
2.1惡意代碼解析
LokiBot關鍵組件和代碼塊如下:
MainActivity:惡意代碼執行入口。模擬器檢查[1]、圖標隱藏、引導激活設備管理、啟動CommandService和InjectProcess。
Boot:Receiver組件,惡意代碼執行入口。核心服務CommandService保活。
CommandService:核心服務,根據遠程控製指令執行惡意代碼。
InjectProcess:界麵劫持服務。
Crypt模塊:加密文件、鎖定設備實施勒索。
Socks模塊:實現Socks5協議和SSH隧道,使受控設備所在內網服務器和攻擊者主機之間能進行流量轉發。
2.2 遠程控製
首先上傳設備deviceId、鎖屏狀態、網絡類型至控製端(**92500503912**:Loki:1:wifi)。控製端以用戶deviceId作為肉雞ID,並下發指令數據,觸發惡意行為。指令包括:
|
指令 |
功能 |
|
Send_SMS |
利用受害人身份給任意用戶發送惡意短信 |
|
Send_USSD |
撥打任意號碼 |
|
Go_Contacts |
上傳設備聯係人 |
|
Gethistori |
上傳瀏覽器曆史記錄 |
|
Start_AllApp |
上傳設備安裝應用包名 |
|
Update Bots |
更新LokiBot |
|
Forward_call |
設置唿叫轉移 |
|
Go_Leading_request |
WebView加載惡意網址 |
|
Go_Passwords |
設置鎖屏密碼 |
|
DeleteApp |
自身卸載,取消激活設備管理,觸發勒索 |
|
Go_Smsmnd |
設置默認短信應用 |
|
GetAllSms |
獲取用戶短信記錄 |
|
DellSms |
刪除最新一條短信 |
|
Send_spam |
短信蠕蟲,群發惡意內容給用戶聯係人 |
|
App_call |
啟動任意app |
|
Shells |
執行shell |
|
Go_Crypt |
鎖定用戶設備,並加密設備文件 |
|
Go_Scrynlock |
鎖定設備,使用戶無法使用 |
|
startSocks |
安裝Socks5代理 |
|
Start_Inject |
啟動InjectProcess,執行銀行應用劫持 |
LokiBot會根據采集到的用戶數據,發起相應的攻擊。攻擊手段主要包括以下三種方式:
-
用戶設備安裝有銀行或社交類app會發起應用劫持攻擊;
-
用戶網絡環境屬於某企業,會進行內網滲透;
-
直接發送DeleteApp或Go_Crypt指令,實施勒索敲詐。
2.3 應用劫持
劫持過程與“BankBot”木馬[2]相似,都是上傳用戶安裝列表,在雲端配置劫持界麵,後台監視應用,一旦用戶開啟劫持列表內的應用,就彈出釣魚界麵覆蓋真實應用,誘導用戶輸入賬戶和密碼。由於此類木馬生命周期短,“LokiBot”則采取主動發起應用劫持。方式包括:
-
通過遠程指令啟動待劫持應用;
-
主動彈出偽造的app Notification,一旦用戶點擊就彈出釣魚界麵
2.4內網滲透
若受控設備處於內網環境,“LokiBot”下發startSocks命令,建立Socks5代理和SSH安全隧道[3],攻擊者這樣以移動設備為跳板,入侵內網,竊取企業數據資產。
“LokiBot”木馬內網滲透過程:
-
木馬(SSH客戶端)主動連接攻擊者主機(SSH服務端),建立SSH連接,並設置端口轉發方式為遠程端口轉發,這樣完成SSH Client端至SSH Server端之間的安全數據通訊,並能突破防火牆的限製完成一些之前無法建立的TCP連接。
-
木馬作為socks服務端創建一個socket,等待本機的SSH客戶端(木馬)連接,連接成功後就可以通過SSH安全隧道進行內網數據滲透。
建立SSH安全傳輸隧道
控製端下發的”startSocks”數據指令還包括:攻擊者主機IP、木馬作為socks服務器要監聽的端口、木馬連接攻擊者主機(SSH服務器)的用戶名、密碼信息。木馬創建一個異步任務,內部使用JSch包提供的接口實現攻擊端主機連接,端口轉發設置。
socks代理
木馬實現了一套socks5協議,在內網服務器和攻擊者之間轉發數據流量。這樣木馬設備(SSH客戶端)會將訪問的內網數據,通過SSH隧道安全傳輸到攻擊者。
2.5鎖屏勒索
LokiBot成功誘導用戶激活設備管理後,隱藏在後台,執行惡意代碼。若用戶檢測到惡意軟件,嚐試卸載、控製端下發DeleteApp或Go_Crypt指令,都會觸發設備鎖定,加密用戶設備文件代碼。下圖取消設備管理權限,觸發執行CriptActivity$mainActivity,實施鎖屏勒索。
AES加密設備SD目錄下所有文件,並將原文件刪除。
通過向設備Window添加flag=FLAG_WATCH_OUTSIDE_TOUCH|FLAG_LAYOUT_IN_SCREEN|FLAG_NOT_FOCUSABLE的View,使用戶無法使用手機,恐嚇用戶設備文件被加密,必須通過比特幣支付$70。BTC支付地址硬編碼在資源文件裏,根據交易地址可查詢到,該賬戶2015年7月份發生第一筆交易,今年2月開始交易頻繁,近期交易呈下降趨勢,賬戶共發生1341筆交易,共計收入48.821BTC。
Sample sha256
97343643ed13e3aa680aaf6604ca63f447cdfc886b6692be6620d4b7cddb2a35
00d8b0b6676a3225bd184202649b4c1d66cd61237cfad4451a10397858c92fd3
b28252734dd6cbd2b9c43b84ec69865c5ee6daea25b521387cf241f6326f14a3
6fbecc9ecf39b0a5c1bc549f2690a0948c50f7228679af852546a1b2e9d80de6
b3c653d323a59645c30d756a36a5dd69eb36042fc17107e8b4985c813deabaf5
b2cc3b288d4bb855e64343317cf1560cb09f22322618c5ff9bdc9d9e70c8f335
f5a5f931e11af31fa22ef24ba0e4fff2600359498673d18b5eb321da1d5b31e0
bf13ee6be6e13e8a924ca9b85ad5078eafabf5b444b56fab2d5adcf3f8025891
fea63f4b85b4fd094a761cd10069d813c68428121b087f58db2ea273250ec39b
ab51dcd0629758743ed1aa48531a71852a49454cc9c90f37fbedb8c02547d258
a912166eaf2c8e0c3c87f17bb208f622a0b51bfa1124e5ba84f42a4adf7a96b4
1979d60ba17434d7b4b5403c7fd005d303831b1a584ea2bed89cfec0b45bd5c2
97d7c975ceb7f7478d521b0f35fdb4a14bd26c6dfde65e29533fdaf6d1ac9db6
1d828d3a89242513048546769f3c1394ff134b76ed08c7d8d9ec07e495cd14f5
1902424d09c9ddce312c84d166353199c5e6da97918b61616ec38431bdaa1359
b89892fe9fd306636cb79225ab260320b26b2313d1f415f885b8d6843fcc6919
e8714558ba46b2e44f1167baf0e427ed408c6946a045be245061f1a914869a27
418bdfa331cba37b1185645c71ee2cf31eb01cfcc949569f1addbff79f73be66
a9899519a45f4c5dc5029d39317d0e583cd04eb7d7fa88723b46e14227809c26
3c258581214d4321875218ed716d684d75e21d6fa5dc95c6109d6c76de513aca
a1f7498c8ae20452e25bb1731ab79f8226ed93713990496009cd9060954cea3c
3136fd5a06ad5b1cdc48ade31fe5fdce6c050e514f028db18230d31801592995
7ebebd2b83ea29668e14d29e89e96cf58665e01603b970823b2f4f97e7a2c159
e46aee4b737d1328b7811d5d6158a6e1629dc3b08d802378eaba7c63d47de78b
1e4795407db5f3084fcdc8ebb3a1486af4720495d85c5ebe6b8489fc9f20e372
1a18fc5f117c8240dce9379390fe5da27e6b135246dcb7ac37abb1acf47db0fe
92229e3b0c95ad4aee3cf9f0a2270aeb62cedd35869d726399fe980154782019
0f7fc30cc701bea7e6ffa541665670ff126a9b3bc0c55ea9bc51c461d8d629a8
b280c4b1954abc1979a67ee9c60fd8d8690921aa92ce217592a3b0653a7694c1
93c229c459fb13890bafc4fed2f1974948940d0cbc81ed64b4817a2c6619036e
0b5c854fceaccad3516ebb1a424d935d393fa2f2246f1704e36e8084e29949c8
c260e60567723af1dddc717a87cf2c24e1fdc7981ea379dd8f11f5a8f272e63c
a09d9d09090ea23cbfe202a159aba717c71bf2f0f1d6eed36da4de1d42f91c74
84136b96ee1487a3f763436c5e60591be321ac4dd953d2b9a03dbec908d1962a
c6acdb6a3df9522b688a7bb38e175b332639121d840305394f05f7f594b2917c
2bad6d8530601a8ab67dbc581184138b87d2c7cb3a63a1d15d7f774b3f4f9cd0
bc93d1c1dea582e039f9bcb99d506842c2c2a757b57ff7fda299eac079019bd8
7f4bbe3e6ba3a35e7a187369f5ed280de557e93121c85f2a9e4a8bb63ac8f7f2
77c149c2892adbf2e5c69374ccf24de22788afbc5800b3d3fcd332e3d2042de2
6eb92722e16840495363bb3f3e6bba6f2c6f30ad9eb8e891b90eb455dc5e3e91
794d79a549711e2eba0ebbf1d2720948295b3c5e21c5c3c39064abaa632e902e
09bad7c39020c29d68f9357812f2fb355750d3980c32c02f920f54ba42bb8726
8ef0edca1822d0460a34f59d564458ee3cc420afc7166612cb1a16eab01583e0
fb188fcd914e891f26985c0b19935ce5e5ca0c96a977e6c04df2a3c6c86d9ea8
7ed19d67d7ab8934aac1a125446d3132f1f4ccfb0c2419f333bdc90f8aef09c0
ce0c24d3c856e8f1c05f238aa5222fb11dbdfc562becdc0ff9ba2c7152860008
18da21d688317ba1eb704b9127757d1c9feeac362537fccd7e68ecb7e06adeb9
83497ac340f6e38b54395eacd8e02405fb5b28125b8537e74dbce1de3bef79d5
2e6b667076dec035e5ca19823697eb64b190a9009a2d21bfd5ed7374d32c21f0
C&C
https://updddatererb1.gdn/sfdsdfsdf/
https://tyfgbjyf.xyz/sfdsdfsdf/
https://dghooghel.com/sfdsdfsdf/
https://sdtyoty.gdn/sfdsdfsdf/
https://rthrew.gdn/sfdsdfsdf/
https://spirit7a.pw/sfdsdfsdf/
https://cofonderot.top/sfdsdfsdf/
https://sdfsdfsf.today/sfdsdfsdf/
https://sdfsdfsf.gdn/sfdsdfsdf/
https://dgdfgdfg.top/sfdsdfsdf
https://profitino365.com/sfdsdfsdf/
https://sdfsdgfsdfsdfsd.info/sfdsdfsdf/
https://showtopik.gdn/tosskd/
https://showtopik.xyz/kdlhoi/
https://showtopics.biz/saddasd/
https://tescoy.com/asffar929/
https://pornohab24.com/dklska/
https://185.209.20.28/sdfsdfdsf/
https://185.206.145.22/sfdsdfsdf/
https://185.165.29.29/dover/
https://185.110.132.60/sfdsdfsdf/
https://217.172.172.10/adminlod/
https://217.23.6.14/adminlod/
https://94.75.237.86/sfdsdfsdf/
https://85.93.6.104/sfdsdfsdfhfghf/
https://77.72.84.48/gslrmgt/
0x3安全建議
“LokiBot”為例,黑客以移動設備作為跳板入侵企業內網以多次出現,因此企業應加強防範措施,嚴格限製不可信設備連接內網,加強員工網絡安全意識。而對於普通用戶,下載應用請到官方網站或安全應用市場,切勿點擊任何色情鏈接,尤其是短信、QQ、微信等聊天工具中不熟識的“朋友”發來的鏈接,安裝安全防護軟件,定期進行病毒查殺。
參考
[1] 模擬器檢測
https://github.com/strazzere/anti-emulator
[2] 新型BankBot木馬解析
https://jaq.alibaba.com/community/art/show?articleid=783
BankBot AvPass分析
https://jaq.alibaba.com/community/art/show?spm=a313e.7916648.0.0.3775bb8euvWFHg&articleid=1028
[3] 實戰SSH端口轉發
https://www.ibm.com/developerworks/cn/linux/l-cn-sshforward/
最後更新:2017-11-09 10:04:01