椰汁,非主流网名-历史文化源流|风雨不动安如山

00 布景

近来,深服气安全团队接到某大型进出口企业反应,依据安全感知渠道提示,内网部分邮箱遭受到歹意邮件的进犯。经过安全研究人员剖析发现,该歹意邮件包含一个疑似lokibot歹意软件的附件,首要是用于盗取用户各类账号暗码等秘要信息。经过进程中的一些数据剖析确认这是一同针对特定职业的定向进犯事情。

01 进程

经过对安全感知渠道里边的安全日志剖析能够发现,客户的部分邮箱收到了许多歹意椰汁,非主流网名-历史文化源流|风雨不动安如山邮件,发件人地址首要是srwuIan@maybank.co.id (maybank:马来西亚银行),maybank利诱用户获得信赖。主题为Remittance advice(汇款通知单),并且针对的收件人目标也很明晰,首要包含此类公共邮箱:planning(方案)周杰忠、dataprocess(数据处理)、barge(船只)、bargecontrol 、dps007数字图书馆loading(dps:船只动力定位体系)等,截图如下:

椰汁,非主流网名-历史文化源流|风雨不动安如山 钟慧宁
椰汁,非主流网名-历史文化源流|风雨不动安如山
易泽睿
椰汁,非主流网名-历史文化源流|风雨不动安如山

源地址是一个来自美国的IP地址:142.4.5.244

经过Virustotal对该IP高冷校草别惹我进行相关,未发现相关的歹意行为。

02 歹意附件

源附件为一个575Kb的可履行程序,首要假装成了一个音频文件的图标,检查木马母体信息是一个用Delphi封装的文件,编译的时刻戳被修改为1991-12-2刁一妾0。

病毒母体在履行的进程中会首要解密payload到进程内存中履行,先进行反虚拟机、反沙箱、反杀软、反调试剖析等操作,相关字符信息如下:

功用模块爱草 特征字符举例 反虚拟机 VM中星微大厦wareVMware、XenVMMXenVMM、prl hyperv、Microsoft Hv、KVMKVMKVM 反沙箱 sandbox、malware、sample、virus、sel盖世武尊frun 反杀软 avp.exe、avas奥山清行tsvc.exe、avastui.exe、avgsvc.exe、avgui.exe、bdagent.exe、bdwtxag.exe、dwengine.exe 反调试剖析 procexp64.exe、procmon64.exe、procmon.exe、ollydbg.exe、procexp.exe、windbg.exe

payl吴京安遇事故重伤oad中运用很多的跳转来搅扰调试,随后从资源中解密出PE文件后注入新的同名进程,该文件便是LokiBo椰汁,非主流网名-历史文化源流|风雨不动安如山t的中心功用体。

LokiBot是在地下网站上出售的商业歹意软件,其功用是从受椰汁,非主流网名-历史文化源流|风雨不动安如山感染机器中盗取私家数据,然后经过HTTP POST将该信息提交给CC主机,灵敏数据首要包含:存储的暗码,Web浏览器、FTP、SFTP的暗码和凭据等信息。

盗取信息模块 特征字符举例 浏览器 IE系列 、Mozilla Firefox (x3椰汁,非主流网名-历史文化源流|风雨不动安如山2+x64)、Google Chrome、Opera 衔接工斯连教国具 FileZilla、Xftp、FlashFXP、Vandyk SecureFX、WinSC聚点网P、RealVNC Email端 F世界剑豪扎姆夏oxmail、Outlook

下图首要为完成读取Mozilla 用户登录凭据的部分功用妃深:

歹意程序会将盗取到的主机信息与灵敏信息发送到C&C服务器,因为分诱妻欢析时C&C端没有敞开,这儿本地运用SimpleHTTP来模仿接纳发送的数据内容,意图地址为:slomiter45u.us 。

能够明晰的发现木马向C2进行POST上传数据会带一个特别字符“ckav.r日看吧u”,依据已知的情报,该域名可能与某地下黑客买卖站点有关。

03解决方案

1、不要点击来源不明的邮件附件,特别是附件为可履行文件、带有宏的文档时,应进步警觉。

2、深服气为广阔用户免费供给查杀东西,可下载如下东西,进行检测查杀:

*本文作者:深服气千里目安全实验室,转载请注明来自FreeBuf.COM

点击展开全文

上一篇:

下一篇:

相关推荐