실제로 배포 된 대부분의 LokiBot 샘플들, 오리지널 악성코드의 “하이잭”된 버전으로 나타나

Most LokiBot samples in the wild are "hijacked" versions of the original malware

한 보안 연구원이 실제로 배포 되고 있는 LokiBot 악성코드의 샘플들 대부분이 오리지널 샘플의 수정 된 버전이라고 밝혔습니다.

2015년부터 사용자들을 공격해온 LokiBot은 다양한 웹 브라우저, FTP, 포커 및 이메일 클라이언트, PuTTY와 같은 IT 관리 툴의 크리덴셜을 훔치는 패스워드 및 가상 코인 지갑 스틸러입니다.

오리지널 LokiBot 악성코드는 온라인 예명 "lokistov"(Carter로도 알려짐)를 사용하는 개발자가 개발했으며, 언더그라운드 해킹 포럼 다수에서 최대 $300에 판매했습니다. 하지만 다크웹의 다른 해커가 더 저렴한 가격($80)으로 동일한 악성코드를 판매하기 시작했습니다.

유출 된 LokiBot의 소스코드가 다른 사람들이 그들 고유의 버전을 컴파일 하도록 허용했을지도 모릅니다.

하지만, 트위터에서 “d00rt”라는 예명을 사용하는 연구원은 다른 해커들이 오리지널 LokiBot 샘플의 소스코드에 접근하지 않고도, 훔친 데이터를 수신하는 커스텀 도메인을 정의할 수 있도록 패치된 것을 발견했습니다.

해커들, “하이잭 된” 버전의 LokiBot 적극적으로 배포 중

연구원들은 훔친 데이터가 전송 되는 악성코드의 C&C 서버 위치가 프로그램의 5군데에 저장 된 것을 발견했습니다. 이중 4곳은 Triple DES 알고리즘으로 암호화 되었으며, 하나는 단순한 XOR을 사용했습니다.

이 악성코드는 암호화 된 모든 문자열을 복호화하고 C&C 서버의 URL을 받아오는데 사용하는 

“Decrypt3DESstring”이라는 기능이 있습니다.

연구원은 오리지널 샘플과 최신 샘플을 비교한 결과, 이 Decrypt3DESstring 기능이 Triple DES 문자열 대신 항상 XOR로 보호 된 문자열을 통해 값을 반환하도록 변경 된 것을 발견했습니다.

이러한 변경 사항으로 인해, LokiBit의 새로운 샘플을 가지고 있는 누구라도 단순한 HEX 편집기를 통해 프로그램을 편집하고, 훔친 데이터를 받을 수 있도록 커스텀 URL을 추가할 수 있게 됩니다.

그러나, 오리지널 악성코드의 제작자가 왜 동일한 C&C 서버 URL을 덜 안전한 XOR로 암호화 된 문자열에 저장한 것인지 이유는 알 수 없습니다.

현재 배포 되고 있으며 언더그라운드 마켓에서 매우 저렴한 가격으로 구매할 수 있는 다른 LokiBot 샘플들도 이러한 방식으로 패치 된 것으로 나타났습니다.

한편, LokiBot의 원 제작자는 많은 포럼에서 새로운 2.0 버전을 공개해 판매 중입니다.

복호화 기능은 시스템에서 지속성을 얻기 위한 레지스트리 값을 얻기 위해 사용되기도 합니다. 하지만 패치 이후 복호화 기능은 URL만을 반환하기 때문에, 새로운 LokiBot 샘플들은 기기가 리부팅 되면 다시 시작되지 않습니다.

더욱 자세한 정보는 연구원들이 GitHub에 발표한 논문[PDF]을 참조하시기 바랍니다.

출처 :

https://thehackernews.com/2018/07/lokibot-infostealer-malware.html

https://github.com/d00rt/hijacked_lokibot_version/blob/master/doc/LokiBot_hijacked_2018.pdf