LokiBot Trojan Malware Analysis, Overview by ANY.RUN

Was ist LokiBot Malware?

LokiBot, auch bekannt als Loki-Bot oder Loki-Bot, ist eine Malware, die Informationen stehlen kann. Sie sammelt die Anmeldedaten der am häufigsten verwendeten Webbrowser, FTP- und E-Mail-Clients sowie von mehr als 100 Software-Tools, die auf dem infizierten System installiert sind. Der Trojaner wurde in einem der Länder entwickelt, die früher zur Sowjetunion gehörten.

Am 3. Mai 2015 wurde der Trojaner erstmals in einer Verkaufsankündigung seines Entwicklers entdeckt.

Get started today for free

Analyze malware and phishing in a fully-interactive sandbox

Create free account

Allgemeine Beschreibung von LokiBot

Bis zu 400 Dollar kosteten die ersten Versionen der Spionagesoftware LokiBot, die von einem Hacker namens "lokistov" oder "Carter" entwickelt und verkauft wurde. Eine nahezu identische Malware, die von verschiedenen Anbietern für nur 80 Dollar angeboten wurde, tauchte jedoch kurze Zeit später in Hacker-Foren auf. Es wird angenommen, dass "lokistov" selbst gehackt wurde und der Quellcode des Virus nach außen gelangte, so dass andere seine Techniken nutzen und verblüffend ähnliche Malware verkaufen können.

Seltsamerweise fand ein Forscher später heraus, dass die erste Version des Virus von jemandem ohne Zugang zum Quellcode gepatcht wurde, was es der Hackergemeinde ermöglichte, eine Reihe individueller Domains für den Empfang der Daten festzulegen. Inzwischen gibt es mehrere Versionen des Virus. Die Analyse hat ergeben, dass es sich bei allen um Modifikationen der ursprünglichen Malware handelt. Interessant ist, dass der Server, an den die Daten von LokiBot Stealer gesendet werden, für jede Malware-Version einzigartig ist.

Die neuesten Versionen von LokiBot fügen dem Prozess der Kompromittierung von Systemen neben einer weiteren Verschlüsselung, einer Technik, um der Entdeckung zu entgehen, eine dritte Ebene hinzu. Um die eigentliche Quelle des Codes zu verbergen, wird jede Ebene des Trojaners verschlüsselt.

Die Malware nutzt die bekannte Technik, Bilder in Dokumenten unscharf zu machen. Dadurch wird der Benutzer gezwungen, Makros zu aktivieren. Mit diesem Trick werden Computer erfolgreich infiziert.

LokiBot Malware-Analyse

Eine Sandbox-Analyse, die den Infektionsprozess simuliert und von ANY.RUN, einem interaktiven Malware-Erkennungsdienst, erstellt wurde, bietet Malware-Analysten eine ideale Möglichkeit, den Infektionsprozess auf einem infizierten Computer zu verstehen. Wie die Simulation zeigt, benötigt der LokiBot-Trojaner E-Mail-Anhänge wie eine Microsoft Office-Datei oder eine Archivdatei, um in die aktive Phase einzutreten.

process graph of lokibot stealer execution Abbildung 1: Vom ANY.RUN Malware-Jagddienst erstelltes Prozessdiagramm

Die Analyse ergab, dass der Lebenszyklus von Malware in folgende Phasen unterteilt werden kann:

Infizierung: Das Opfer lädt ein bösartiges Archiv oder eine Microsoft Office-Datei herunter, die schließlich die Malware nachlädt;
Der Keylogger wird zuerst entpackt. Danach entpackt er sich selbst und beginnt mit der Ausführung der Hauptnutzlast;
Der Virus erstellt für jede Anwendung, auf die er abzielt, eine eigene Schleife. Die abgerufenen Daten werden in einem Zwischenspeicher abgelegt;
Anschließend ändert er einen Registrierungsschlüssel und kopiert den Trojaner explizit in einen Ordner mit einem bestimmten, eindeutigen Namen unter dem Ordner %APPDATA%. Auf diese Weise kann der Virus persistent werden. Um den Namen zu generieren, wird MachineGuid MD5 verwendet, und der Name kann sowohl als Mutex als auch als Bot-Id verwendet werden. Die letzte Aktion in diesem Schritt ist die Generierung eines Registrierungsschlüssels, der auf die Datei verweist, die der Virus zuvor in ein bestimmtes Verzeichnis innerhalb des %APPDATA%-Ordners kopiert hat;
Anschließend setzt der Virus die Persistenz entweder unter HKEY_LOCAL_MACHINE oder KEY_CURRENT_USER, je nachdem, ob der aktuelle Benutzer privilegiert ist oder nicht;
Im nächsten Schritt werden allgemeine Informationen über das System an den C&C-Server gesendet;
Anschließend wendet der Keylogger die Triple-DES-Verschlüsselungstechnik auf die URL und den Registrierungsschlüssel an, um die Persistenz zu gewährleisten;
Danach wartet der Virus auf Befehle von C&C und erstellt einen neuen Thread, um die Antwort von C&C zu erkennen.

Use ANY.RUN free for 14 days

Try the full power of interactive analysis

Start your free trial

Wie Sie eine Infektion mit dem LokiBot Virus vermeiden

Da die Spyware LokiBot auf die Aktivierung von Makros angewiesen ist, um das System zu infizieren, werden die Angreifer alles daran setzen, das Opfer zur Aktivierung von Makros zu bewegen. Um vor dem Trojaner geschützt zu sein, ist es daher am besten, Makros zu deaktivieren. Seien Sie besonders vorsichtig, wenn Sie ein Dokument aus einer verdächtigen Quelle oder von einer unbekannten E-Mail-Adresse herunterladen. In diesem Fall werden Sie aufgefordert, Makros zu aktivieren.

Eine weitere gute Möglichkeit, die Wahrscheinlichkeit, Opfer von Malware zu werden, zu verringern und Ihre Anmeldedaten zu schützen, besteht darin, Antivirensoftware von vertrauenswürdigen Entwicklern zu verwenden und diese regelmäßig zu aktualisieren. Es wird auch empfohlen, beim Öffnen von Anhängen oder beim Klicken auf Links in E-Mails von unbekannten Absendern Vorsicht walten zu lassen, da dies eine beliebte Methode zur Verbreitung von Malware wie FormBook und Dridex ist.

Verbreitung von LokiBot

Die Verbreitung von LokiBot Stealer erfolgt in der Regel über E-Mail-Spam-Kampagnen, bei denen der Benutzer zum Download einer angehängten schädlichen Datei aufgefordert wird. Die drei häufigsten Dateitypen sind Microsoft Office-Dokumente, die zum Herunterladen und Installieren der Malware konfiguriert sind, Archivdateien, die eine ausführbare Loki-Bot-Datei oder ISO-Dateien enthalten, und eine ausführbare Loki-Bot-Datei.

LokiBot Ausführungsprozess

Mit Hilfe der interaktiven Sandbox-Simulation des ANY.RUN Malware Detection Service können wir uns ein genaueres Bild davon machen, wie der Ausführungsprozess von LokiBot abläuft, wenn eine infizierte Microsoft Office-Datei die Quelle der Infektion ist.

Die Simulation beginnt mit dem Öffnen einer Microsoft Office-Datei. Die Ausführung von WINWORD.EXE mit aktivierten Makros erfolgt unmittelbar danach.
Anschließend lädt der Microsoft Office Equation Editor eine schädliche ausführbare Datei herunter, die die Sicherheitslücke CVE-2017-11882 ausnutzt;
Schließlich wird eine schädliche ausführbare Datei ausgeführt, die persönliche Daten stiehlt und sich mit dem C&C-Server verbindet.

process tree of a lokibot stealer execution Abbildung 2: Veranschaulicht die Ausführungsprozesse von LokiBot in der ANY.RUN Simulation

a text report of a lokibot analysis Figure 3: Abbildung 3: Ein von ANY.RUN erstellter Textbericht

Der Virus erzeugt während seiner Ausführung mehrere Artefakte. Im geheimen Verzeichnis %APPDATA% können zu jedem Zeitpunkt vier Dateitypen gleichzeitig gespeichert werden. Diese Dateien können die Erweiterungen ".exe", ".lck", ".hdb" oder ".kdb" haben. haben und jeder Dateityp dient einem bestimmten Zweck:

.exe-Dateien enthalten eine ausführbare Kopie des Trojaners, die bei der Anmeldung eines Benutzers an einem Konto gestartet wird,
.lck-Dateien werden erstellt, um Ressourcenkonflikte zu vermeiden, wenn entweder Windows Credentials oder Keylogging entschlüsselt werden,
.hdb Dateien werden zur Speicherung der Hashes aller Datenmuster verwendet, die bereits an den C&C Server übertragen wurden.
.kdb-Dateien werden wiederum verwendet, um Informationen über die Daten zu speichern, die noch an den Server gesendet werden müssen.

Basierend auf der Analyse verwendet der Keylogger den folgenden Algorithmus, um die Dateien zu benennen:

Zuerst wird der MachineGuid-Wert aus dem Registrierungszweig HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography ausgelesen. Für unsere Simulation wurde er auf dc5131b5-5fbc-4f85-b1ed-28d4392080ca gesetzt.

lokibot mutex creation GUID registry

Der Virus verwendet dann den MD5-Algorithmus, um die Hash-Summe der MachineGuid zu berechnen, die in unserem Fall c83ba0aa282a966263dda560052b3caf lautet.

lokibot mutex creation md5

Die Zeichen 8 bis 13 des resultierenden Hashwertes werden als Name des Unterverzeichnisses verwendet. Die Zeichen 13 bis 18 werden als Name der Dateien verwendet.

lokibot mutex creation

LokiBot Kommunikation mit C&C

Die aktuelle Version des Virus, die auch die verbreitetste Version darstellt, verschickt zur Kommunikation mit dem C&C-Server die Zeichenkette "ckav.ru". Interessanterweise sind die gesendeten Daten auch ein Teilstring von "fuckav.ru".

So erkennen Sie LokiBot Malware mit ANY.RUN

Ob Sie LokiBot vor sich haben oder nicht, können Sie unter anderem an den gesendeten Paketen erkennen, die immer den Text "ckav.ru" enthalten. Um einen Blick in ein Paket zu werfen, klicken Sie einfach auf das gesendete Paket in der Registerkarte "HTTP REQUESTS".

lokibot network stream Abbildung 4: Lokibot Netzwerk-Stream

Fazit

Durch das Durchsickern und Klonen der ersten Version der Malware, die schließlich zu einem wesentlich niedrigeren Preis als das Original erhältlich war, ist die Spyware LokiBot zu einer weit verbreiteten Malware geworden, die weiterhin in verschiedenen E-Mail-Spam-Kampagnen auftaucht. Mittlerweile ist der Virus sogar so populär, dass Erklärvideos zum Stehlen von Zugangsdaten auf YouTube zu finden sind.

Zum Glück erlauben es moderne Malware Jäger wie ANY.RUN, das Verhalten von Malware im Detail zu studieren und sich gegen diese Bedrohung zu schützen.

Erstellen Sie noch heute Ihr kostenloses ANY.RUN-Konto und genießen Sie unbegrenzte Malware-Analysen!