탐지 콘텐츠: LokiBot 탐지기

오늘 게시물에서는 LokiBot 정보 도용 악성코드에 대해 독자들에게 상기시키고자 합니다. 이 악성코드는 피해자의 Windows OS에 백도어를 제공하여 사기꾼들이 민감한 데이터를 훔치고 다양한 페이로드를 배포할 수 있도록 합니다. LokiBot 정보 도용 악성코드는 종종 신뢰할 수 있는 발신자로 가장하는 스팸 메일 캠페인을 통해 피해자에게 전달되며, 수신자가 즉시 열어보도록 유도하는 첨부 문서를 포함하고 있습니다. 전 세계에서 피싱 캠페인으로 배포되면서 LokiBot은 팬데믹 동안 더욱 더 큰 피해를 입혔으며, 이는 최근 WHO의 업데이트를 합법적인 발신자처럼 보이게 하여 정보를 전달한 캠페인에서 관찰되었습니다.

LokiBot이 피해자 기계에 성공적으로 전달되면, 브라우저에 저장된 비밀번호, 이메일 비밀번호 및 FTP 자격 증명 등을 포함하여 최대한의 민감한 정보를 수집하고 전송하기 시작합니다.

LokiBot Detector (Windows10) (Sysmon Behavior) Sigma 규칙 작성자 Lee Archinal 는 정보 도용 악성코드의 존재를 감지하는 데 도움을 줍니다 

https://tdm.socprime.com/tdm/info/R26MTl0rrjvg/uwDm3HMBSh4W_EKGmAKw/?p=1

해당 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK:

전술: 실행, 방어 회피, 지속성, 권한 상승

기법: Rundll32 (T1085), 예약 작업 (T1053)

Covid19 관련 악성코드 활동 및 SOC Prime 권장 사항에 대해 더 읽어보기 여기.

SOC Prime TDM을 시도해 볼 준비가 되셨습니까? 무료로 가입하세요.

Or Threat Bounty Program에 참여하세요 자신의 콘텐츠를 제작하고, TDM 커뮤니티와 공유하며, 이를 통해 수익을 올리세요!