# 0x0B. LooCipher APT Ransomware Campaign Analysis [TOC] ## 前言 在分析了前面幾篇惡意程式，對大多基礎已經都有了解 在本篇中會介紹APT Campaign的範例: 勒索軟體LooCipher Ransomware <br> ## APT簡介 http://www.cc.ntu.edu.tw/chinese/epaper/0051/20191220_5103.html 簡單說，就是一群駭客會針對某個團體(公司,政府,銀行....)結合一系列手法深入研究後，並加以攻擊受害群體(也可能是單一個人) <br> ## LooCipher Campaign Analysis ### Word Doc MD5:`f429296720abb2c8570f044fc48d4e10` <br> 一開始所使用的是經典的Word檔案，文件本身並不夾帶勒索軟體 但是可以看一下其中的Macro，在AutoOpen中會下載一個exe檔案儲存並執行`LooCipher.exe`  <br> ### LooCipher.exe - Dynamic Analysis MD5:`dc645f572d1f06d93f8010434b70e206` <br> 執行後，就像常見的勒索軟體一樣會出現下列圖片 * 可以看到，他的拼字有錯`imporant` -> `important` * 給了一串bitcoin address說是只給你的  <br> * 執行後會傳送主機Public IP以及看起來像是ID之類的文字回C2  <br> ### LooCipher.exe - Static Analysis * PE Studio 不意外的 警鈴大作  <br> * 勒索Message中所謂**客製化**的Bitcoin Address，其實不是 只是單純Hardcoded在PE檔案內  <br> * 會被加密的檔案格式  <br> * KANAL KANAL為PEiD中的一個plugin，可以偵測加密等相關功能 由下圖可以方線RIJNDAEL[S] 指的是AES Encryption 並且在`0x00A75E20`被Reference  <br> * 加密方式: AES Encryption 樣本中存在AES特有的AES S-Box  <br> 透過IDA xref可以看到，在function `0x727700`處有被大量調用S-Box  <br> ## 結論 社交工程仍然是駭客最常用，也是最有效的手段 一封看似無害的釣魚郵件或是一個看似安全的Office檔案很有可能會造成難以拯救的後果，像是本篇中的勒索軟體 也有可能你在公司電腦打開惡意Office檔案，被駭客入侵內網而導致整個公司Domain被攻破 <br> [-0xbc](https://hackmd.io/@0xbc000) ###### tags: `Malware Analysis` `Reverse Engineering` `tutorials`