Manuel Statik Analiz — Lokibot | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Ordine di acquisto_(PO_109228)_doc (İtalyanca satın alma siparişi ISO!) |
| Boyut | 1.333.248 byte (1.3MB ISO) |
| String Sayisi | 6.404 |
İtalyanca Hedefleme: Satın Alma Siparişi ISO
İtalya HEDEFİ: İtalyan iş dünyası alım-satım!
Ordine di acquisto_(PO_109228)_doc.iso -- "Ordine di acquisto" = satın alma siparişi (İtalyanca) -- "PO 109228" = Purchase Order numarası -- "_doc" = belge gibi görünmek için ek -- .iso uzantısı = DVD/CD imajı gibi görünen container -- ISO mount edildiğinde içindeki .exe çalıştırılıyor -- Windows'ta ISO çift tıklamayla mount olur (kullanıcı farkında değil)
Üç C2 Substring
C2 KALIPLAR:
222?2E2N2c2r2x2 -- RC4 konfigürasyonu içinde c2 referans z#F,c2% -- özel karakter dizisi + c2 + yüzde ,QIc2 -- virgül + büyük harf + küçük c2
IOC
| SHA256 | 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | Ordine di acquisto PO 109228 (İtalyanca ISO) |
Lokibot — Malware Profili
LokiBot Loki PWS infostealer. Ordine di acquisto Italian PO ISO delivery. GetKeyNameTextW keylogger.
Malware Tipi
Infostealer
Programlama Dili
C++
C2 Protokolü
HTTP
Hedef Sistemler
Windows
Teknik Detaylar
C++, HTTP POST form-based C2, browser credential theft, FTP/SMTP/VPN stealer, Filezilla/WinSCP credential theft, anti-emulation (timing checks), steganography ile C2 IP gizleme
Yetenekler ve Davranış
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC Listesi (1 gösterge)
IOC — Lokibot
# SHA256
8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Tür | Değer | Not |
|---|---|---|
| sha256 | 8e6e963f685974c71333248b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
C2 Sunucuları (Bu aile için 2 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| 109.206.243.59 | ip | 80 | HTTP | inactive | RU |
| lokibot.net | domain | 80 | HTTP | sinkholed | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.