LokiBot具備了收集敏感資料(如密碼和虛擬貨幣資訊)的能力,而其幕後操作者也持續地在開發此威脅。趨勢科技曾經看過一波攻擊活動會攻擊遠端程式碼執行漏洞來利用Windows Installer服務散播LokiBot,出過利用ISO映像檔的Lokibot變種及會用資料隱碼術增強持續性機制的變種。而最近,我們發現一隻LokiBot(趨勢科技偵測為Trojan.Win32.LOKI)會偽裝成熱門的遊戲啟動器來誘騙使用者在電腦上執行。進一步分析顯示此變種有著特別的安裝行為,會植入可編譯的C#程式碼檔案。
這隻不尋常的LokiBot變種利用的是「派送後編譯(compile after delivery)」規避偵測技術,趨勢科技解決方案可以用內建的機器學習(Machine learning,ML)偵測功能來加以主動偵測(Troj.Win32.TRX.XXPE50FFF034)並封鎖。
技術分析
這隻病毒一開始偽裝成Epic Games商店安裝程式。該假安裝程式是用NSIS(Nullsoft腳本安裝系統)製作。在這波攻擊中,惡意NSIS Windows安裝程式使用了Epic Games(Fortnite等熱門遊戲的開發公司)的圖示,好讓使用者誤以為這是正常的安裝程式。
圖1. 利用遊戲安裝程式作為幌子的LokiBot惡意安裝程式圖示
一旦執行,惡意安裝程式會將兩個檔案(C#原始碼和.NET執行檔)植入受影響電腦的%AppData%資料夾。
圖2. 安裝程式腳本截圖
進一步分析.NET執行檔顯示檔案經過重度混淆處理,裡面包含了大量垃圾碼,讓逆向工程更加困難。
圖3. 顯示.NET執行檔主函式的截圖
此.NET執行檔接著會在受感染電腦中讀取並編譯植入的C#程式碼,檔名為MAPZNNsaEaUXrxeKm。
圖4. 程式碼片段顯示會出現在二進位檔內的垃圾碼(上方),以及顯示如何讀取和編譯植入C#程式碼的程式碼(下方)
編譯C#程式碼後,二進位檔會用InvokeMember函式呼叫C#程式碼中的EventLevel函式。被呼叫的函式會解密和載入內嵌的加密組合程式碼。
圖5. 程式碼截圖顯示二進位檔呼叫EventLevel()函式
圖6. 程式碼片段顯示如何解密組合程式碼
LokiBot樣本的安裝過程結合了兩種技術來躲避偵測:首先,它利用C#原始碼來躲避針對可執行二進位檔的防禦機制。此外,它還混淆處理了加密組合程式碼並內嵌在C#程式碼內。
最後一個階段是執行LokiBot惡意行為。就跟野外其他活躍的資訊竊取病毒一樣,LokiBot在安裝和混淆機制的持續改進顯示出惡意份子不會放慢攻擊的腳步。
歡迎訂閱資安趨勢電子報
趨勢科技解決方案
趨勢科技的Deep Discovery透過特製引擎、客製化沙箱和跨越整個攻擊生命週期的無縫關聯技術來對漏洞攻擊及其他類似威脅進行偵測、深入分析和主動回應,從而可以無需更新引擎或特徵碼就能夠偵測這些類型的攻擊。這些解決方案由趨勢科技的XGen安全防護技術技術驅動,它提供了跨世代的混合威脅防禦技術,可以抵禦端點,網路,伺服器以及閘道所會面臨的各種威脅。精準、最佳化、環環相扣的XGen防護技術驅動著趨勢科技一系列的防護解決方案:Hybrid Cloud Security(混合式雲端防護),User Protection(使用者防護)和Network Defense(內網防護)
入侵指標(IoC)
SHA-256 | 檔案類型 | 偵測名稱 |
c93abb57b2b669f8e9a8b4695fe865aea3f0c0e74deafa99e805900b110552e1 | LokiBot惡意軟體 | Trojan.Win32.LOKI |
385bbd6916c88636a1a4f6a659cf3ce647777212ebc82f0c9a82dc4aea6b7c06 | 加密的組合程式碼 | |
17d54bca1bd7c11beecfc77b25e966b745b9cf281f2c1c88c99a83f807aec335 | 解碼程式 |
@原文出處:LokiBot Impersonates Popular Game Launcher and Drops Compiled C# Code File 作者:趨勢科技威脅分析師Augusto Remillano II,Mohammed Malubay和Arvin Roi Macaraeg)