蔓延するLokiBotの殆どはオリジナルの修正版と発覚。
ほとんどのLokiBotのサンプルが、オリジナルに手を加えられたものであることが発覚しました。
「LokiBotってなんだっけ?」
と思われていましたら、当ブログでも過去にLokiBotに関するニュースを扱いましたので、ぜひお読みください。
尚、以下の記事に記載されているのは、LokiBotから派生した亜種に関する解説です。
この記事では、LokiBotのオリジナル版に関して簡単に触れつつ、以下の2点に絞って紹介していきます。
- オリジナルの修正版である事が発覚した経緯
- 修正が加えられた箇所について
LokiBot“オリジナル版”は2015年から販売
LokiBotが出現したのは2015年のことです。
LokiBotは2015年以降、ユーザのアカウント情報や、仮想通貨のWallet情報を盗むマルウェアとして知られていました。
LokiBotのターゲットは幅広く、FTPクライアント、Webブラウザ、PuTTYといったSSHクライアント等から情報を盗み取ると言われています。
オリジナルのLokiBotを開発したのはlokistov(別名:Carter)と名乗る者です。
Lokistovは、ハッキングフォーラムでLokiBotをたった$300(=約33,000円)で販売開始。
その後次々と亜種が生まれ、ダークウェブ上で販売されるように。安いのだと$80(=約9,000円)で売り始められていきました。
(LokiBotを販売した最初の投稿。LOKIBOT INFOSTEALER “HIJACKED” VERSIONより)
発覚した経緯
もともと、LokiBotがダークウェブ上で安く販売されていた理由は、「LokiBotのソースコードが流失したこと」が原因と思われていました。
しかし、セキュリティ研究者のd00rt (@D00RT_RM) 氏の指摘によれば、ソースコードに触れることなく、他の人が盗んだデータを受け取るためのドメインを設定できるよう、少し修正しているだけであることを発見(GitHub)したのです。
修正版LokiBotについて
(復号化されたC&CサーバのURL。LOKIBOT INFOSTEALER “HIJACKED” VERSIONより)
d00rt氏は、LokiBotが盗んだ情報の送信先となるC&CサーバのURLがソースコードに直接記載されている箇所が5つもある事を発見。
そのうち、4つはトリプルDESアルゴリズムで暗号化されていましたが、1つだけXORで暗号化されていました。
文字列型を復号するDecrypt3DESstring
実はこのマルウェアには「Decrypt3DESstring」という関数が存在します。
LokiBotは、「Decrypt3DESstring」を使って、トリプルDESで暗号化された文字列を復号し、C&CサーバのURLを取得します。
d00rt氏は更に、オリジナル版LokiBotと修正版Lokibotを新たに取得し、比較。
d00rt氏の指摘によれば、修正版LokiBotには「Decrypt3DESstring」がトリプルDESで暗号化された文字列型ではなく、XORで暗号化された文字列型を復号した結果を返すように変更されていました。
文字列型がXORで暗号化されていた事によって、修正版LokiBotは誰でもHEXエディターを使って簡単に情報の送信先C&CサーバのURLを変更出来るようになったのです。
LokiBotオリジナル版の開発者が、C&CサーバーのURLをトリプルDESと比べて安全面で劣るXORで暗号化された文字列型に入れた意図は不明のままです。
ダークウェブで安価で販売されているLokiBotの亜種も同様な機能を持っているとされています。
更に進化するLokiBot
LokiBotのオリジナル版の開発者であるLokistov氏は、LokiBotのバージョン2.0をリリースし、オンラインフォーラムで積極的に販売を行なっています。
ちなみに、オリジナル版に含まれる「Decrypt3DESstring」は、潜伏する為に再起動しても起動出来るよう、レジストリの値を取得する機能もあるようです。
しかし、修正版LokibotではただC&CサーバのURLを返すだけで再起動した後は起動できません。
修正版LokiBotについては、d00rt氏のレポートでより詳しく解説されています。
LokiBotについてかなり細かく書かれているため、一読の価値は十分にあると思います。
[原文へ]