上海林治电脑网络科技有限公司

400-111-8101

解决方案Solution

全国咨询电话400-111-8101
全国咨询电话021-64688642
电子邮件594758187@qq.com

上海林治电脑网络科技有限公司

地址:上海市徐汇区漕溪北路41号(太平洋数码一期)汇嘉大厦6楼H座

电话:400-111-8101,021-64688642

24小时服务热线:18601603152, 13023283622  

联系人:陈工

Q  Q:594758187     

旺旺:笔记本维修与数据恢复

邮编:200030
邮箱:cxl_linzhi@sina.com.cn

网址:http://www.linzhi120.com/


勒索病毒解密

当前位置:网站首页 > 解决方案 > 勒索病毒解密

比较少见的智能手机勒索病毒 深度解析新型变形恶意软件LokiBot

近期,Client-SideDetection披露“LokiBot”木马,钱盾反诈实验室快速响应分析,发现“LokiBot”木马前身是由“BankBot”演变而来。与其他银行劫持木马相比“LokiBot”具备其独特功能,可以根据不同目标环境发起相应攻击,比如主动向用户设备发起界面劫持、加密用户设备数据,勒索欺诈用户钱财、建立socks5代{过}{滤}理和SSH隧道,进行企业内网数据渗透。“LokiBot”传播途径通过恶意网站推送虚假的“Adobe Flash Playe”、“APK Installer”、
0x1.木马介绍
近期,Client-SideDetection披露“LokiBot”木马,钱盾反诈实验室快速响应分析,发现“LokiBot”木马前身是由“BankBot”演变而来。与其他银行劫持木马相比“LokiBot”具备其独特功能,可以根据不同目标环境发起相应攻击,比如主动向用户设备发起界面劫持、加密用户设备数据,勒索欺诈用户钱财、建立socks5代{过}{滤}理和SSH隧道,进行企业内网数据渗透。“LokiBot”传播途径通过恶意网站推送虚假的“Adobe Flash Playe”、“APK Installer”、“System Update”、“Adblock”、“Security Certificate”等应用更新,诱导用户安装。运行截图如下:

图片关键词图片关键词

0x2.样本分析


2.1恶意代码解析
LokiBot关键组件和代码块如下:
图片关键词
MainActivity:恶意代码执行入口。模拟器检查[1]、图标隐藏、引导激活设备管理、启动CommandService和InjectProcess。
Boot:Receiver组件,恶意代码执行入口。核心服务CommandService保活。
CommandService:核心服务,根据远程控制指令执行恶意代码。
InjectProcess:界面劫持服务。
Crypt模块:加密文件、锁定设备实施勒索。
Socks模块:实现Socks5协议和SSH隧道,使受控设备所在内网服务器和攻击者主机之间能进行流量转发。

2.2 远程控制
首先上传设备deviceId、锁屏状态、网络类型至控制端(**92500503912**:Loki:1:wifi)。控制端以用户deviceId作为肉鸡ID,并下发指令数据,触发恶意行为。指令包括:
指令功能
Send_SMS利用受害人身份给任意用户发送恶意短信
Send_USSD拨打任意号码
Go_Contacts上传设备联系人
Gethistori上传浏览器历史记录
Start_AllApp上传设备安装应用包名
Update Bots更新LokiBot
Forward_call设置呼叫转移
Go_Leading_requestWebView加载恶意网址
Go_Passwords设置锁屏密码
DeleteApp自身卸载,取消激活设备管理,触发勒索
Go_Smsmnd设置默认短信应用
GetAllSms获取用户短信记录
DellSms删除最新一条短信
Send_spam短信蠕虫,群发恶意内容给用户联系人
App_call启动任意app
Shells执行shell
Go_Crypt锁定用户设备,并加密设备文件
Go_Scrynlock锁定设备,使用户无法使用
startSocks安装Socks5代{过}{滤}理
Start_Inject启动InjectProcess,执行银行应用劫持

LokiBot会根据采集到的用户数据,发起相应的攻击。攻击手段主要包括以下三种方式:
  • 用户设备安装有银行或社交类app会发起应用劫持攻击;

  • 用户网络环境属于某企业,会进行内网渗透;

  • 直接发送DeleteApp或Go_Crypt指令,实施勒索敲诈。


2.3 应用劫持
劫持过程与“BankBot”木马[2]相似,都是上传用户安装列表,在云端配置劫持界面,后台监视应用,一旦用户开启劫持列表内的应用,就弹出钓鱼界面覆盖真实应用,诱导用户输入账户和密码。由于此类木马生命周期短,“LokiBot”则采取主动发起应用劫持。方式包括:
  • 通过远程指令启动待劫持应用;

  • 主动弹出伪造的app Notification,一旦用户点击就弹出钓鱼界面


图片关键词
2.4内网渗透
若受控设备处于内网环境,“LokiBot”下发startSocks命令,建立Socks5代{过}{滤}理和SSH安全隧道[3],攻击者这样以移动设备为跳板,入侵内网,窃取企业数据资产。
“LokiBot”木马内网渗透过程:
  • 木马(SSH客户端)主动连接攻击者主机(SSH服务端),建立SSH连接,并设置端口转发方式为远程端口转发,这样完成SSH Client端至SSH Server端之间的安全数据通讯,并能突破防火墙的限制完成一些之前无法建立的TCP连接。

  • 木马作为socks服务端创建一个socket,等待本机的SSH客户端(木马)连接,连接成功后就可以通过SSH安全隧道进行内网数据渗透。


图片关键词
建立SSH安全传输隧道
控制端下发的”startSocks”数据指令还包括:攻击者主机IP、木马作为socks服务器要监听的端口、木马连接攻击者主机(SSH服务器)的用户名、密码信息。木马创建一个异步任务,内部使用JSch包提供的接口实现攻击端主机连接,端口转发设置。
图片关键词 

socks代{过}{滤}理
木马实现了一套socks5协议,在内网服务器和攻击者之间转发数据流量。这样木马设备(SSH客户端)会将访问的内网数据,通过SSH隧道安全传输到攻击者。图片关键词


2.5锁屏勒索
LokiBot成功诱导用户激活设备管理后,隐藏在后台,执行恶意代码。若用户检测到恶意软件,尝试卸载、控制端下发DeleteApp或Go_Crypt指令,都会触发设备锁定,加密用户设备文件代码。下图取消设备管理权限,触发执行CriptActivity$mainActivity,实施锁屏勒索。
图片关键词


AES加密设备SD目录下所有文件,并将原文件删除。
图片关键词


通过向设备Window添加flag=FLAG_WATCH_OUTSIDE_TOUCH|FLAG_LAYOUT_IN_SCREEN|FLAG_NOT_FOCUSABLE的View,使用户无法使用手机,恐吓用户设备文件被加密,必须通过比特币支付$70。BTC支付地址硬编码在资源文件里,根据交易地址可查询到,该账户2015年7月份发生第一笔交易,今年2月开始交易频繁,近期交易呈下降趋势,账户共发生1341笔交易,共计收入48.821BTC。图片关键词


Sample sha256
图片关键词 
图片关键词 

图片关键词 

C&C
http://updddatererb1.gdn/sfdsdfsdf/http://tyfgbjyf.xyz/sfdsdfsdf/
http://dghooghel.com/sfdsdfsdf/http://sdtyoty.gdn/sfdsdfsdf/
http://rthrew.gdn/sfdsdfsdf/http://spirit7a.pw/sfdsdfsdf/
http://cofonderot.top/sfdsdfsdf/
http://sdfsdfsf.today/sfdsdfsdf/
http://sdfsdfsf.gdn/sfdsdfsdf/
http://dgdfgdfg.top/sfdsdfsdf
http://profitino365.com/sfdsdfsdf
http://sdfsdgfsdfsdfsd.info/sfdsdfsdf/
http://showtopik.gdn/tosskd/
http://showtopik.xyz/kdlhoi
http://showtopics.biz/saddasd/
http://tescoy.com/asffar929/
http://pornohab24.com/dklska/
http://185.209.20.28/sdfsdfdsf/
http://185.206.145.22/sfdsdfsdf/
http://185.165.29.29/dover/
http://185.110.132.60/sfdsdfsdf/
http://217.172.172.10/adminlod/
http://217.23.6.14/adminlod/
http://94.75.237.86/sfdsdfsdf/
http://85.93.6.104/sfdsdfsdfhfghf/
http://77.72.84.48/gslrmgt/


0x3安全建议
“LokiBot”为例,黑客以移动设备作为跳板入侵企业内网以多次出现,因此企业应加强防范措施,严格限制不可信设备连接内网,加强员工网络安全意识。而对于普通用户,下载应用请到官方网站或安全应用市场,切勿点击任何色情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接,安装安全防护软件,定期进行病毒查杀。


参考
[1]   模拟器检测https://github.com/strazzere/anti-emulator
[2]   新型BankBot木马解析
https://jaq.alibaba.com/community/art/show?articleid=783
BankBot AvPass分析
https://jaq.alibaba.com/community/art/show?spm=a313e.7916648.0.0.3775bb8euvWFHg&articleid=1028
[3]   实战SSH端口转发https://www.ibm.com/developerworks/cn/linux/l-cn-sshforward/


点击次数:  更新时间:2018-05-11 19:37:41  【打印此页】  【关闭

上海市徐汇区漕溪北路41号汇嘉大厦6楼H座

联系电话:400-111-8101

1502092706.png



扫一扫
随时访问手机网站


林治科技 版权所有 2005-2017 沪ICP备15046416号-1

上海市徐汇区漕溪北路41号汇嘉大厦6楼H座

联系电话:400-111-8101