Erkennung Inhalt: Finden des Lokibot Trojaners

Lokibot ist eine trojanische Malware, die entwickelt wurde, um eine Vielzahl sensibler Daten zu sammeln. Es wurde erstmals 2015 bemerkt und bleibt bei Cyberkriminellen sehr beliebt, da es im Untergrundforum von jedem Angreifer gekauft werden kann. Vor ein paar Jahren lernten „Bastler“, wie man C&C-Infrastrukturadressen eigenständig zum Trojaner hinzufügt und begannen, die „geknackte“ Version zu verkaufen, was zu einem Anstieg der Angriffe mit diesem Informationsdiebstahl führte. Einerseits kann die Raubkopie keine Persistenz aufrechterhalten, andererseits ist Lokibot in der Lage, gespeicherte Zugangsdaten in Minuten zu stehlen und es wird schwierig sein, solche Angriffe zurückzuverfolgen. 

Lokibot wird über Spam-E-Mails und bösartige Websites verbreitet. Eine Hauptfunktion des Trojaners ist das Aufzeichnen sensibler Daten: Er sammelt gespeicherte Anmeldungen/Passwörter und überwacht kontinuierlich die Benutzeraktivität, wobei die aufgezeichneten Informationen sofort auf einem von Gegnern kontrollierten Remote-Server gespeichert werden. Dieser Trojaner wird oft bei BEC-Angriffen eingesetzt, da er bei erfolgreicher Infektion den Betrügern nahezu sofort alle notwendigen Informationen liefert. Lee Archinalsexklusive Regel basiert auf einer Analyse der kürzlich entdeckten Lokibot-Proben und kann helfen, kompromittierte Systeme rechtzeitig zu erkennen: https://tdm.socprime.com/tdm/info/T6NDsITcwOfT/n21AqHIBPeJ4_8xce4aS/?p=1

Wir empfehlen, dass Sie auch die anderen Regeln zur Erkennung dieser Bedrohung erkunden, die verfügbar sind auf Threat Detection Marketplace.

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Command and Control, Defense Evasion

Techniken: Commonly Used Port (T1043), File Deletion (T1107)