惡意軟體如何運作
洛基博特是 特洛伊木馬、資訊竊取惡意軟體,通常針對 Android 手機和 Windows 裝置。作為特洛伊木馬,它的目標是通過偽裝為一個理想或良性的程序,在未被發現的情況下潛入系統。 它透過各種方式傳播,包括網路釣魚電子郵件、惡意網站、簡訊和其他訊息平台。 根據 Check Point 研究,Loki 惡意軟體甚至已預先安裝在 Android 裝置上。
Lokibot 採用模組化設計,包含許多元件,為惡意軟體操作者提供不同的功能。眾所周知,該惡意軟體會提供惡意廣告以獲取收入並提供對受感染裝置的後門存取。
然而,Lokibot 的主要目的是充當資訊竊取者。一旦它感染了裝置,它就會尋找儲存登入憑證的應用程序,例如瀏覽器或電子郵件程序,並竊取這些憑證並將其洩露給攻擊者。Lokibot 還包括鍵記錄功能,使其能夠在用戶輸入系統時捕獲登錄憑據。
威脅
由於 Lokibot 是一個信息竊取器,因此它的主要目的是從受感染的機器中竊取用戶憑據。 竊取這些憑證的影響取決於它們的目的。 成功的憑證竊取可能使攻擊者能夠竊取敏感資料、存取組織網路內的其他系統或實現其他目的。
除了這種核心信息竊取功能之外,Lokibot 還包含可用於其他目的的模塊。 例如,Lokibot 內建的後門功能可能允許攻擊者遠端控制受感染的系統並使用它下載其他惡意軟體。在使用 Lokibot 獲得系統的初始訪問權限後,攻擊者可以下載 勒索 或其他惡意軟體來擴展其功能和攻擊的影響。
目標產業
Lokibot 是一種廣泛使用的惡意軟體變體,尤其是在其原始程式碼可能會洩漏之後。這意味著許多網絡犯罪組織將它和其變體納入他們的攻擊中。 由於這麼多群組使用它以及 Lokibot 的廣泛功能,因此它不針對任何特定的行業或地理位置。
如何防範 LokiBot 惡意軟體
防止 Lokibot 和管理 Lokibot 感染的影響的一些最佳做法包括:
- Anti-Phishing Protection: Lokibot 是一種特洛伊木馬,通常是作為網路釣魚電子郵件和其他訊息的附件進行分發。網路釣魚防護解決方案可以識別並阻止附件中的惡意內容到達用戶,可以防止 Lokibot 的感染。
- 端點資安解決方案: Lokibot 是一種眾所周知的惡意軟體變體,大多數端點資安解決方案都有它的簽名並熟悉其活動。在所有裝置上部署端點資安解決方案並保持最新狀態應該有助於降低感染風險。此外,端點資安解決方案或許能夠阻止透過 Lokibot 傳遞的第二階段惡意軟體的下載和執行。
- 多重身份驗證 (經理學): Lokibot 的主要目的是從受感染的機器識別和竊取員工的登錄憑據。 透過在整個組織中部署 MFA,公司可以限制攻擊者使用這些遭入侵認證的實用性。
- 零信任安全: 零信任安全策略將使用者帳戶的存取權限和權限限制在其角色所需的最低限制。 通過實施和強制執行零信任原則,組織可以限制通過 Lokibot 竊取的憑證遭到入侵的帳戶可能造成的損害。
- 網絡安全意識培訓: Lokibot 惡意軟體通常透過以下方式傳播 網路釣魚 攻擊和惡意網站。 網絡安全培訓可以幫助員工識別並正確應對這些威脅,從而限制感染的風險。
- 網路流量監控: 洛基機器人可以用作 遠端存取特洛伊木馬 (RAT),允許攻擊者遠端控制受感染的電腦以竊取資料或安裝惡意軟體。透過網路流量分析可以偵測到與 Lokibot 用作 RAT 相關的異常網路流量。
使用 Check Point 偵測並保護 LokiBot 惡意軟體
Lokibot 是一種多功能、模組化惡意軟體,可能對組織構成重大威脅。潛入組織網路後,它可以竊取使用者憑證,為攻擊者提供對系統的遠端存取權限,並用於部署第二階段惡意軟體。
儘管 Lokibot 在過去一年中的知名度有所下降,但它和其他惡意軟體變體對企業網路安全構成了重大威脅。要了解有關當前網路威脅情勢的更多信息,請查看 Check Point 的 2022 年網路安全報告。
Check Point 的 Harmony 端點 提供針對 Lokibot 和其他主要惡意軟體變體的全面保護。要了解有關 Harmony 端點的更多資訊並親自了解其功能, 立即報名參加免費示範。
反映意見