黑客攻击Windows新工具——L0rdix

黑客攻击Windows新工具——L0rdix

目前可在地下论坛上购买的黑客软件L0rdix旨在感染使用Windows系统的设备,该软件结合了数据窃取和加密货币挖掘功能于一体,能够避免恶意软件分析工具,并且成为黑客的首选工具。研究人员发现该工具仍在开发中,并且期待发现更复杂的版本。

摘要

enSilo研究人员Ben Hunter发现了一种名为L0rdix的相对较新的多用途攻击工具。L0rdix是用.NET编写的,旨在感染使用Windows系统的计算机,并可在由网络犯罪分子托管的论坛中或者地下论坛中购买。虽然L0rdix没有提供任何新技术,但它的强大威胁在于它结合了数据窃取和加密货币挖掘功能。

黑客攻击Windows新工具——L0rdix

图1.在线论坛上出售的L0RDIX

黑客攻击Windows新工具——L0rdix

图2.在线论坛上出售的L0RDIX

该工具配置选项非常便捷、功能多种多样。

黑客攻击Windows新工具——L0rdix

图3.面板视图

二进制信息

L0rdix是使用标准ConfuserEx混淆器进行混淆的x32.NET应用程序。一些样本使用更高级的.NETGuard混淆器进行打包,该混淆器也基于ConfuserEx。

核心逻辑

L0rdix支持各种各样的操作,旨在成为需要不同功能的攻击者的通用工具。很明显,其开发者更喜欢简单却功能强大的代码。为了使工具的不同模块分析并为了以后能轻松提升其功能,L0rdix由五个主要的嵌入式模块组成,这些模块由全局常量和预定的配置数据运行。L0rdix的“主要”代码首先运行(如果已配置)反VM测试,并在验证后继续尝试使用服务器中的新配置更新。

通讯

在向服务器查询新配置文件之前,L0rdix会收集(使用WMI查询和注册表项)有关受感染计算机的以下数据,以便将其用作服务器中的唯一标识符。

逻辑磁盘硬件设备ID

OS产品名称

处理器型号(CPU)

图形控制器模型(GPU)

已安装的防病毒产品

当前用户权限

初始配置中传递的哈希值常量

机器上可用的RAM的信息

由Drive_name:/ free_space_in_it组成的字符串

所有收集的数据都使用简单的AES进行加密。联系服务器之前的最后一步包括生成作为服务器的数据值发送的机器屏幕截图。例如,获取新配置设置的URL将是:[changing prefix] + connect.php? + [unique collected data]。服务器会用JSON文件回复,以下是几个参数:

Mining_status—-确定L0rdix是否应该执行挖掘活动

Warn_processes and Warn_windows—-允许更新扫描窗口和进程名称,这将导致下一次反vm和反分析检查失败

Steal——确定L0rdix是否应该窃取个人信息

USB感染

执行的第一个线程是USB感染模块,它映射连接的所以可移动设备,并将每个文件夹和目录的属性改为隐藏,使恶意软件伪装成这些文件夹和目录。所有这一切都是为了确保用户安装双击执行的恶意软件。

黑客攻击Windows新工具——L0rdix

图4.用恶意软件替换现有文件

该线程会等待新的可移除设备进行感染。

加密钱包窃取

L0rdix监视剪贴板并在剪贴板中搜索以下模式的新副本,包括正则表达式和特定钱包类型:黑客攻击Windows新工具——L0rdix

图5.钱包及其匹配货币的搜索模式

在查找匹配的字符串时,内容将与指定的匹配货币类型一起发送到服务器,服务器中的新文本将在剪贴板中替换。

数据窃取功能

L0rdix旨在从机器中收集三类信息。第一类是以下列表中每个浏览器的保存登录详细信息。如果浏览器正在运行,L0rdix会使浏览器无法运行,只需复制数据库并使用SQLite实用程序提取详细信息即可提取已保存的登录详细信息。L0rdix主要影响以下浏览器:

Chrome

Kometa

Orbitum

Comodo

Amigo

Torch

Opera

第二类是来自浏览器的cookie信息。第三类是与配置数据中的位于桌面或其目录中的与扩展列表匹配的所有文件,默认为.txt文件。数据收集完成后,L0rdix将所有信息存储在Temp目录中,该目录将压缩目录并将其发送到服务器。

挖矿功能

矿工模块是在开发的后期阶段开发的,因为一些样本并不具备挖矿功能。L0rdix实际上没有在其代码中嵌入挖矿功能,而是使用众所周知的process hollowing技术来运行自己的恶意代码,它从合法进程attrib.exe内的服务器获取。

黑客攻击Windows新工具——L0rdix

图6. SMETHOD_0调用process hollowing方法

结论

虽然很容易注意到该软件最强大的功能在于规避虚拟环境和分析工具以及运行窃取模块,但L0rdix仍然有未完成的模块和弱实现细节,例如服务器和客户端之间的简单加密以及简单数据处理,这些指标表明该工具仍处于开发阶段。为了保持对黑客的吸引力,未来L0rdix肯定会不断强化,enSilo预计将来会看到更多复杂版本的多功能黑客工具。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132716.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code