멀웨어의 작동 방식
로키봇은 트로이 목마, infostealer 일반적으로 Android 휴대폰 및 Windows 디바이스를 대상으로 하는 멀웨어입니다. 트로이 목마의 목표는 바람직하거나 무해한 프로그램으로 가장하여 시스템에 탐지되지 않고 몰래 침투하는 것입니다. 피싱 이메일, 악성 웹사이트, SMS 및 기타 메시징 플랫폼을 포함한 다양한 방법을 통해 배포되었습니다. Check Point Research에 따르면, Loki 멀웨어는 Android 디바이스에 사전 설치되어 제공되기도 했습니다.
Lokibot은 멀웨어 운영자에게 다양한 기능을 제공하는 많은 구성 요소로 모듈화되어 있습니다. 멀웨어는 수익을 얻고 감염된 디바이스에 대한 백도어 액세스를 제공하기 위해 악성 광고를 제공하는 것으로 알려져 있습니다.
그러나 Lokibot의 주요 목적은 인포스틸러 역할을 하는 것입니다 디바이스가 감염되면 브라우저나 이메일 프로그램과 같이 로그인 자격 증명을 저장하는 애플리케이션을 찾아 해당 자격 증명을 훔쳐 공격자에게 유출합니다. Lokibot에는 키로깅 기능도 포함되어 있어 사용자가 시스템에 입력한 로그인 자격 증명을 캡처할 수 있습니다.
위협
Lokibot은 인포스틸러이기 때문에 주요 목적은 감염된 시스템에서 사용자 자격 증명을 훔치는 것입니다. 이러한 자격 증명의 도난이 미치는 영향은 목적에 따라 다릅니다. 자격 증명 도난에 성공하면 공격자가 중요한 데이터를 훔치거나, 조직 네트워크 내의 다른 시스템에 액세스하거나, 다른 목적을 달성할 수 있습니다.
이 핵심 정보 훔치기 기능 외에도 Lokibot은 다른 용도로 사용할 수 있는 모듈도 통합합니다. 예를 들어, Lokibot에 내장된 백도어 기능을 통해 공격자는 감염된 시스템을 원격으로 제어하고 이를 사용하여 추가 멀웨어를 다운로드할 수 있습니다. Lokibot을 사용하여 시스템에 대한 초기 액세스 권한을 얻은 후 공격자는 랜섬웨어 또는 다른 멀웨어를 사용하여 기능과 공격의 영향을 확장할 수 있습니다.
대상 산업
Lokibot은 특히 소스 코드가 유출될 가능성이 있는 후 널리 사용되는 멀웨어 변종입니다. 이는 많은 사이버 범죄 그룹이 이를 공격에 통합한다는 것을 의미합니다. 많은 그룹이 Lokibot을 사용하고 Lokibot의 광범위한 기능을 사용하기 때문에 특정 산업이나 지리적 위치를 대상으로 하지 않습니다.
LokiBot 멀웨어로부터 보호하는 방법
Lokibot으로부터 보호하고 Lokibot 감염의 영향을 관리하기 위한 몇 가지 모범 사례는 다음과 같습니다.
- Anti-Phishing Protection: Lokibot은 종종 피싱 이메일 및 기타 메시지에 대한 첨부 파일로 배포되는 트로이 목마입니다. 첨부파일 속 악성 콘텐츠를 식별하여 사용자에게 도달하는 것을 차단할 수 있는 안티피싱(Anti-Phishing) 솔루션은 로키봇의 감염을 예방할 수 있습니다.
- 엔드포인트 보안 솔루션: Lokibot은 잘 알려진 멀웨어 변종이며 대부분의 엔드포인트 보안 솔루션에는 이에 대한 서명이 있으며 해당 활동에 익숙합니다. 모든 디바이스에 엔드포인트 보안 솔루션을 배포하고 최신 상태로 유지하면 감염 위험을 줄이는 데 도움이 됩니다. 또한 엔드포인트 보안 솔루션은 Lokibot을 통해 전달되는 2단계 멀웨어의 다운로드 및 실행을 방지할 수 있습니다.
- 다중 인증 (MFA)를 사용합니다. Lokibot의 주요 목적은 감염된 시스템에서 직원의 로그인 자격 증명을 식별하고 훔치는 것입니다. 조직 전체에 MFA를 배포함으로써 회사는 이러한 손상된 자격 증명의 유용성을 공격자로 제한할 수 있습니다.
- 제로 트러스트 보안: 제로 트러스트 보안 전략은 사용자 계정의 액세스 및 권한을 해당 역할에 필요한 최소한으로 제한합니다. 제로 트러스트 원칙을 구현하고 시행함으로써 조직은 Lokibot이 훔친 자격 증명을 통해 손상된 계정으로 인해 발생할 수 있는 피해를 제한할 수 있습니다.
- 사이버 보안 인식 교육: Lokibot 멀웨어는 일반적으로 다음을 통해 확산됩니다. 피싱 공격 및 악성 웹 사이트. 사이버 보안 교육은 직원이 이러한 위협을 식별하고 적절하게 대응하여 감염 위험을 제한하는 데 도움이 될 수 있습니다.
- 네트워크 트래픽 모니터링: Lokibot은 원격 액세스 트로이 목마(RAT)이를 통해 공격자는 감염된 컴퓨터를 원격으로 제어하여 데이터를 훔치거나 멀웨어를 설치할 수 있습니다. Lokibot의 RAT로 사용되는 것과 관련된 비정상적인 네트워크 트래픽은 네트워크 트래픽 분석을 통해 감지할 수 있습니다.
LokiBot 멀웨어 탐지 및 보호 with 체크 포인트
Lokibot은 조직에 심각한 위협이 될 수 있는 다재다능한 모듈식 멀웨어입니다. 조직의 네트워크에 몰래 침투한 후 사용자 자격 증명을 훔치고, 공격자에게 시스템에 대한 원격 액세스를 제공하고, 2단계 멀웨어를 배포하는 데 사용될 수 있습니다.
Lokibot은 작년에 그 중요성이 시들해졌지만, Lokibot과 다른 멀웨어 변종은 기업 사이버 보안에 심각한 위협이 되고 있습니다. 현재 사이버 위협 환경에 대해 자세히 알아보려면 체크 포인트의 2022년 사이버 보안 보고서.
체크 포인트의 Harmony Endpoint Lokibot 및 기타 주요 멀웨어 변종에 대한 포괄적인 보호 기능을 제공합니다. Harmony Endpoint에 대해 자세히 알아보고 그 기능을 직접 확인하려면 지금 무료 데모에 등록하세요.
피드백