當Lokibot第一次出現在地下論壇時,標榜的是資訊竊取和鍵盤記錄等能力,但這幾年來它又加入了許多功能。最近的攻擊活動已經看到這病毒家族會利用Windows Installer進行安裝,而且使用了新的派送方式,利用夾帶惡意ISO檔的垃圾郵件。分析新的LokiBot變種後發現它更新了持續性機制且使用 圖像隱碼術 (steganography) 來隱藏其程式碼,讓它在系統內更不容易被發現。
事件背景
當時我們通知一家使用趨勢科技託管式偵測及回應(MDR)服務的東南亞公司出現潛在威脅時發現此一LokiBot變種(趨勢科技偵測為TrojanSpy.Win32.LOKI.TIOIBOGE) – 一封聲稱來自印度甜點公司的電子郵件附件檔。公司內部署的趨勢科技趨勢科技的Deep Discovery Inspector沙箱發出了警訊加上此封郵件的可疑性質讓我們通知公司可能的惡意威脅,接著趨勢科技研究部門進一步地深入調查和分析。
圖1. 包含LokiBot附件檔的郵件樣本截圖
分析
電子郵件樣本的三個可疑現象
電子郵件內有幾個可疑的跡象。
- 第一個也是最明顯的是寄件者名稱和郵件簽名檔不符,立即顯示出這是封可能的惡意郵件。
- 第二個是緊迫感:電子郵件是在7月1日寄出,內文通知收件者所訂購產品將在7月中旬發貨。這就向收件者灌輸了必須盡快開啟附件檔的緊迫感。
- 最後,電子郵件來源的IP地址(37[.]49[.]230[.]149)是已知的惡意來源且可被趨勢科技的電子郵件信譽評比服務(ERS)封鎖。
附件New Order July .DOC(偵測為Trojan.W97M.DLOADER.PUQ)有兩個內嵌物件:
- 一個Microsoft Excel 97-2003工作表
- 一個標示為’package.json’的套件
執行文件時會馬上顯示Microsoft Excel工作表,接著會執行內嵌在工作表的VBS巨集。過程如下:
圖2. Lokibot的感染鏈
根據郵件標頭,這似乎是新建的電子郵件,而不是如主旨所暗示的那樣是轉寄或回覆的郵件。沒有跡象顯示原有郵件帳號已被入侵。這表示寄件者可能冒用了合法帳號,因為IP地址與寄件者網域不符。我們的動態使用者列表(DUL)還顯示這封郵件很可能是從殭屍網路或是中毒機器所寄出。
趨勢科技的Smart Protection Network顯示所用的IP地址還寄送了其他垃圾郵件,使用了包括以下的主旨:
- PO #201 API documents attached (Dye and colour sample)
- PO #2789 Approved documents
- RE RE new ORDER #37789 (MT) 230KG
- RE RE new ORDER #37789 249 CBM
- RE RE new ORDER (COA) 230KG
這顯示攻擊者開始為在郵件上使用一般的通用主旨,而非針對性的社交工程形式。
隱藏在圖檔內的程式碼
在識別出可能攻擊後,我們決定找尋具備類似特徵的樣本。經過在VirusTotal上的篩選,我們發現有類似樣本在6月24日到7月5日間被加入。分析樣本後發現一些關於LokiBot功能的補充。
惡意軟體樣本的檔案名稱各不相同,但可以說都是隨機的:
- exe / bpxssh.jpg
- exe / sittey.jpg
- exe / jkcgjj.jpg
根據我們的發現,我們研判LokiBot變種也可以經由夾帶惡意RTF檔的垃圾郵件抵達。RTF檔會內嵌Excel OLE物件,該物件會用Windows Management Instrumentation(WMI)和PowerShell來下載和執行惡意軟體。
圖3. VirusTotal上包含LokiBot附件檔的樣本
這隻LokiBot變種一開始會將自身安裝成%Temp%\[filename].exe及%temp%\[filename].jpg。這圖檔有意思的是它真的可以被開啟成圖片。但它也包含了LokiBot解封過程所需的資料。
圖4. 開啟圖檔後的影像
該圖檔包含一個整個解封階段都會用到的加密檔案,直到LokiBot主程式碼在記憶體內解密為止。
在載入主程式碼前,它會在%appdatalocal%建立一個資料夾,裡面放有Loki檔案和圖檔(與%temp%內的一樣)。同時還會植入之後用來執行LokiBot檔案的VBS檔案。在此階段,它還會建立一個自動啟動註冊表值指向VBS檔案作為持續性機制。雖然LokiBot具備自動啟動行為,但有些變種(包括這一個)會用相同自動啟動功能建立了損壞的自動啟動註冊表值,目前還不知道為什麼這些變種會出現這類的自動啟動註冊表值。根據分析可以在記憶體看出它試圖寫入自動啟動註冊表但被覆蓋,導致註冊表損壞。這可能是惡意份子在編碼/修改惡意程式或編譯時出錯的結果。
進入解封的後期階段,最後會載入並執行LokiBot主程式碼。此時已經可以看到實際的LokiBot指標。通過對此特定變種主程式碼的分析並與之前的變種作比較,我們發現只有些微的更新,主要是會變更帳密竊取的目標應用程式(根據變種而不同)。
LokiBot使用圖像隱碼術
之前的LokiBot攻擊事件是在4月回報,惡意變種使用Zipx檔案附件隱藏在PNG圖檔中。
在此案例中,LokiBot變種將加密過的檔案隱藏在圖檔裡,首先要找出代表加密檔案開始的“標記”。該字串似乎是“#$%^&*()__#@$#57$#!@”,它會用子字串函數進行搜尋。
圖5. 圖檔內的加密檔案
找到檔案後,它會開始解密。結著會載入解密後的檔案來進行後續的解封過程。根據輸入和輸出,它並非使用像AES這樣的區塊加密法,而是用自己的解密方法。
圖6. 解密程序
圖7和8. 解密前後
這隻變種會使用圖像隱碼術的一個可能原因是它加入了另一層混淆技術 — Wscript(VBS檔案直譯器)來執行惡意軟體而非實際讓惡意軟體執行。因為自動啟動機制使用腳本程式,因此之後的變種可以透過修改腳本來變更持續性方法。
作為現今最活躍的資訊竊取者之一,LokiBot的腳步並沒有放緩的跡象。持續性和混淆機制的更新顯示出LokiBot仍有新版本的推出,在可預見的未來仍是必須面對的威脅。
使用託管式偵測及回應(MDR)抵禦LokiBot
在我們所處理的案例中,內部沙箱主動標記了LokiBot變種,我們接著在一天內進行了分析,在發生任何永久損害前就先封鎖了寄件者的電子郵件地址。但我們發現同一封電子郵件已經被送到其他組織的至少55個目標,這代表這起攻擊並不是一次性事件。根據LokiBot的普遍性,可以預期攻擊者可能會發動更大規模的類似攻擊。
如前所述,惡意郵件使用了讓人信服的郵件地址。事實上,如果沒有沙箱報警,這封郵件很可能會被忽略掉。雖然被攻擊的公司有自己的資安團隊,但如果沒有已經對LokiBot很熟悉,想要偵測威脅並根據其各種躲避機制來進行分析可能會很困難。
組織所面臨的最重大威脅(也是影響最嚴重的威脅)通常並不是針對性攻擊,而是較小型但更常發生,難以發現且不斷出現的資安事件。即便是擁有自己資安團隊的組織.這時也會需要託管式偵測及回應(MDR)的幫助。恩低阿提供了事件調查和威脅分析的能力,最重要的是可以關聯不同或看似無關的指標來更清楚地了解組織正在處理什麼樣的事件。在這起案例中,對LokiBot的了解和經驗讓我們的MDR和分析團隊可以在一天內就提供反饋和補救建議。
除了熟悉內部和外部威脅情報資源外,MDR團隊還擁有趨勢科技所提供進階安全解決方案的操作經驗。其中之一是趨勢科技的Deep Discovery Inspector,它能夠偵測組織內威脅的橫向移動。
入侵指標(IoC)
| 檔案名稱 | SHA256 | 偵測名稱 |
| New Order July .DOC | 7812e7564a1e2480412b228daf4c53e9f5291bbdb06120ec778cf4ed0a6654d7 | Trojan.W97M.DLOADER.PUQ |
| fd908abce7885430fb344aedb21cee0aa73f2bd7b82ab118974674afdfe45fc2as | TrojanSpy.Win32.LOKI.TIOIBOGE | |
| 84700ef750fa74f0837521037d4d5318274a5542b57e5ee92e27a168dd8938c4 | Troj.Win32.TRX.XXPE50FFF031(TrendX) | |
| 0a6e59e1d01521e4b0eb19faafe221737120183847a0fd6bc5a43f6fbc05d81f | Trojan.X97M.POWLOAD.THGOCAI |
@原文出處:LokiBot Gains New Persistence Mechanism, Uses Steganography to Hide Its Tracks 作者:Miguel Ang、Erika Mendoza和Jay Yaneza(趨勢科技)