LokiLocker ｜ブログ(ほぼこもセキュリティニュース)｜(株)コンステラセキュリティジャパン

ほぼこもセキュリティニュース　By Terilogy Worx

これは新しいRaaSです。
似た名前のものがいくつかありますが、これはどうやら新種です。
コードの類似性から考えると既存の何かの新種というより新しく実装されたもののようです。

RaaSである
分類としてはランサムウェアです。
ファイルを暗号化し、時間内に支払いを行わないとマシンを使用できなくします。
現在のターゲット
英語話者向けの表示内容になっています。
ターゲット環境はWindowsです。
実装形式は複雑
マルウェアは.NETで記述され、KoiVMと呼ばれる追加の仮想化プラグインを使用してNETGuard（変更されたConfuserEX）で保護されます。
この実装形式をとっているため、このマルウェアはプロセスを動作環境からみる場合において、メモリダンプに対する保護や制御フローの難読化やデコンパイラを無効にするような効果を生みます。
静的解析は困難ですし、動的解析をする場合においてもこのマルウェアがどのようなシステムコールを含んでいるのかを事前に解析することは容易ではありません。
実際にマルウェアがシステムコールを実行するまでそれが実施されることがわからないのです。
KoiVMがこのような使い方でマルウェアに悪用されているケースはあまり確認されていません。
暗号化の実施
ファイル暗号化用のAESとキー保護用のRSAの標準的な組み合わせを使用して、ローカルドライブとネットワーク共有上の被害者のファイルを暗号化します。
脅迫文の掲示
脅迫文には身代金の支払い方法に関する指示を取得するために攻撃者に電子メールを送信するように書かれています。
掲示はログイン後の壁紙として表示するだけでなく、ログインする際に必ずOKボタンをクリックしないと次に進めないような形式でも表示されます。
ワイパー機能
攻撃者が指定した時間枠内に被害者が支払いを行わない場合、システム以外のすべてのファイルが削除され、MBRが上書きされ、被害者のすべてのファイルが消去され、システムが使用できなくなります。
ただ何もせずに待っているだけでは、そのパソコンはただの箱になります。
永続化機能
マルウェアは自身を「％ProgramData％/winlogon.exe」にコピーし、その属性を非表示およびシステムに設定し、「LokiLocker」と呼ばれるミューテックスを作成します。
そして複数の方法の起動を仕掛けます。
schtasksによる起動時タスクの登録や起動時に実行されるプログラムを指定するレジストリキーへの挿入などを行います。
C2との通信
現時点では固定のFQDNに対して通信を行います。
宛先は「loki-locker[.]one」です。
現時点でドメイン名の自動生成機構は実装されていないようです。
このマルウェアはほとんどの部分が自動動作するようになっています。
C2との通信ではパソコンの暗号化の進捗状況の通知などに使用されているようです。
調査防御機能
調査を行うことも難しくされています。
cmd.exe、taskmgr.exe、regedit.exeを起動するとそれをすぐに停止させるように書かれたスレッドが起動されます。
暗号化が完了するとOS自体が停止されるように設定する機能も搭載されています。
国の除外機能
マルウェアの動作を除外する国についての設定が実装されています。
現時点ではこの除外される国のところには、イランだけが記載されています。
いろいろな難読化手法が盛り込まれているのにこの部分はそういった処理が実施されていません。
本当に除外する機構を動作させる目的でこの設定が記述されているのかはわかりません。