Manuel Statik Analiz (LLM Okumali) — LokiBot DOC/RTF Dropper | Tehdit: YUKSEK
ファイル Kimligi
| SHA256 | 904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2 |
|---|---|
| Format | RTF/DOC makro dropper (officedocuments.doc) |
| サイズ | 611.186 byte |
| String Sayisi | 1.759 |
Dagilim Vektoru
DOC/RTF dropper: "officedocuments.doc" isminde maskelenmis, spear-phishing emaillerine eklenti olarak kullanilir. Office belgesi acildiginda exploit veya makro ile payload calistirir.
Analiz Bulgulari
- SMTP port 465 gizli beyaz bosluk kodlamasiyla (whitespace steganography?) izole string icerisinde tespit edildi
- Buyuk base64/binary blob RTF basligi icinde yerlesik:
{ackslash *ackslash fttruetype... XBbS1a0cfY...} - Bu RTF embedded binary, gercek LokiBot payload'i veya shellcode icerebilir
LokiBot Exfiltrasyon Kanallari
- HTTP POST (ana yontem): gate.php veya fre.php endpointine sifresiz veri gonderimi
- SMTP (port 465/587): Sifre ve form verisini SMTP ile saldirganin posta kutusuna gonderir
- FTP (port 21): Alinan kimlik bilgilerini FTP sunucusuna kopyalar
LokiBot Yetenekleri
| Kategori | Hedefler |
|---|---|
| FTP | FileZilla, WinSCP, CuteFTP, SmartFTP — kimlik bilgileri |
| Outlook, Thunderbird — sifre ve hesap bilgisi | |
| Tarayicilar | Chrome, Firefox, IE, Opera — saved passwords |
| VPN | NordVPN, OpenVPN config dosyalari |
| Kripto Cuzdan | Bitcoin Core, Electrum wallet dosyalari |
LokiBot Hakkinda
LokiBot, 2015 yilinda ortaya cikan C++ tabanli bir credential thief ve infostealer ailesidir. Baslangicta FTP istemci sifreleri hedefliyordu; gunumuzde 100+ uygulama kategorisini hedefliyor. Underground forumlarda dusuk fiyatla (bazen $300 gibi) satilmasi ile yaygınlasmistir.
IOC
| SHA256 | 904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2 |
|---|---|
| Format | RTF/DOC dropper |
| SMTP Port | 465 (exfiltrasyon) |
Lokibot — マルウェアプロファイル
LokiBot Loki PWS infostealer. Ordine di acquisto Italian PO ISO delivery. GetKeyNameTextW keylogger.
マルウェアの種類
Infostealer
プログラミング言語
C++
C2プロトコル
HTTP
標的システム
Windows
技術詳細
C++, HTTP POST form-based C2, browser credential theft, FTP/SMTP/VPN stealer, Filezilla/WinSCP credential theft, anti-emulation (timing checks), steganography ile C2 IP gizleme
機能と挙動
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOCリスト (1 件の指標)
IOC — LokiBot
# SHA256
904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2
| タイプ | 値 | メモ |
|---|---|---|
| sha256 | 904a61a37592f6a7c9e5db72bc097782911ac5992b17c2188ae9c6306c41c1e2 |
C2サーバー (このファミリーで2台のサーバーを記録)
| アドレス | タイプ | ポート | プロトコル | ステータス | 国 |
|---|---|---|---|---|---|
| 109.206.243.59 | ip | 80 | HTTP | inactive | RU |
| lokibot.net | domain | 80 | HTTP | sinkholed | — |
C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。