关键词:1337|3711|信息|10|窃取|13

进攻步骤病毒感染深入分析解决方法

  • 时间:
  • 浏览:56

文章内容文件目录

进攻步骤 病毒感染深入分析 解决方法 IOC

前不久亚信安全捕获了LokiBot特工木马病毒全新变异,LokiBot是一款知名的特工木马病毒,其根据垃圾短信散播,窃取客户隐秘数据,包含电脑浏览器、电子邮件、ftp、sftp登陆密码及凭据。此次捕获的LokiBot变异与以前版本号不一样的是,其还会继续窃取Windows上适用的IOS运用信息。亚信安全将其取名为:TSPY_LOKI.SMA。

进攻步骤

病毒感染深入分析

蜕壳后,大家发觉该病毒是VC 撰写:

其编码中存有很多花指令,payload在下列详细地址中:

病毒感染最先查验WSA是不是起动,为socket做准备:

进到第一个payload,其关键作用是遍历电子计算机中的全部运用,依据相对的程序运行,到默认设置特定文件目录窃取客户的信息。

该病毒感染不但鉴别包括了Windows常见的电脑浏览器,还会继续窃取IOS运用信息:

鉴别FTP手机软件:

鉴别电子邮箱运用:

窃取之上运用的相对文档和里边的信息:

(1)窃取电脑浏览器登陆密码,以该机所安裝的火狐浏览器为例子:

先分辨设备中的浏览器版本,精准定位电脑浏览器的部位,窃取登陆密码:

窃取信息流程:

载入profiles.ini文件:

载入登陆信息:

载入登陆密码的关键流程是以內部key槽,对slot开展身份验证,接着破译密码:

(2)窃取IOS运用登陆密码,最先会载入plutil.exe文件,此软件用以Windows适用IOS运用,从keychain.plist中窃取客户账户密码,最终转换格式储存在数组或是词典中,等候推送:

(3)对于email所窃取的信息如下图:

窃取数据信息后,病毒感染会删掉本身,并把自己备份数据到临时性文件名称下,重新命名为B3AB29.exe:

创建socket ,网络部虚拟服务器http://noniwire8.beget.tech/Brokenskull/fre.php:

该网站域名为动态域名:

病毒感染终止系统软件lsass.exe过程中维护比较敏感信息的protected_storage服务项目:

 

载入运行内存中全部信息,传送数据:

解决方法

不必点一下来路不明的电子邮件及其配件;

不必点一下来路不明的电子邮件中包括的连接;

请到正规网站下载程序;

选用高韧性的登陆密码,防止应用弱口令登陆密码,并按时拆换登陆密码;

开启系统软件自动升级,并检验升级开展安裝;

IOC

SHA-1:C922961134235AAE9DCB06B304951562**602FF2

URL:http://noniwire8.beget.tech/Brokenskull/fre.php

*文中创作者:亚信安全,转截请标明来源于FreeBuf.COM

猜你喜欢