Erkennungsinhalt: LokiBot-Detektor

In unserem heutigen Beitrag möchten wir unsere Leser an den LokiBot-Infostealer erinnern, der Hintertüren in das Windows-Betriebssystem des Opfers schafft und Betrügern ermöglicht, sensible Daten zu stehlen und sogar verschiedene Payloads einzubringen. Der LokiBot-Infostealer gelangt durch malspam-Kampagnen zu den Opfern, die oft als vertrauenswürdige Absender getarnt sind und ein angehängtes Dokument enthalten, das den Empfänger dazu verleitet, es sofort zu öffnen. LokiBot wurde weltweit in Phishing-Kampagnen verbreitet und während der Pandemie sogar noch virulenter, da in der jüngsten Kampagne beobachtet wurde, dass die E-Mails Informationen zur Aktualisierung der WHO unter Verwendung ihres Markenzeichens ansprachen, um einem legitimen Absender ähnlich zu wirken.

Sobald LokiBot erfolgreich auf den Rechner des Opfers geliefert wurde, beginnt er, so viele vertrauliche Informationen wie möglich zu sammeln und zu senden, darunter in Browsern gespeicherte Passwörter, E-Mail-Passwörter und FTP-Anmeldedaten.

LokiBot Detector (Windows10) (Sysmon Behavior) Sigma-Regel von Lee Archinal hilft, die Anwesenheit des Infostealers zu erkennen 

https://tdm.socprime.com/tdm/info/R26MTl0rrjvg/uwDm3HMBSh4W_EKGmAKw/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Ausführung, Verteidigungsevasion, Persistenz, Privilegieneskalation

Techniken: Rundll32 (T1085), Geplanter Task (T1053)

Lesen Sie mehr über Covid19-bezogene Malware-Aktivitäten und die Empfehlungen von SOC Prime hier.

Bereit, SOC Prime TDM auszuprobieren? Kostenlos registrieren.

Or Treten Sie dem Threat Bounty Program bei um eigene Inhalte zu erstellen, sie mit der TDM Community zu teilen und damit zu verdienen!