机器人

LokiBot 于 2015 年首次报告，被归类为凭证收集器、信息窃取程序和远程访问木马（RAT）。LokiBot 是一种流行的信息窃取程序，因为它易于使用，并能有效地获取目标系统的初始访问权限。LokiBot 也是一种恶意软件即服务（MaaS），有两个不同的版本。正版在地下市场销售，起价 300 美元；破解版售价约 80 美元。2020 年，LokiBot 的活跃度上升，控制了全球最大的僵尸网络，随后被列入CISA 的 2021 年 11 大恶意软件菌株名单。

虽然 LokiBot 的终局功能相对较少，主要集中在信息窃取和凭证获取上，但它确实提供了远程代码执行 (RCE) 功能，允许攻击者轻松导入其他工具，包括勒索软件。仅这种 RCE 功能就使 LokiBot 成为一种高风险的恶意软件。但是，LokiBot 最大的优势在于其高度灵活和复杂的第一阶段传输和解包方法，这也是它经常被用作导入恶意软件的中转站的原因，而这些恶意软件擅长第二阶段策略，即更深入的网络渗透和横向移动。LokiBot 武器库中的另一个武器是它能够入侵安卓设备和基于 Windows 的系统。

LokiBot的活跃度时高时低，在使用率急剧上升之后又会出现休眠期，这让一些人得出结论，大规模LokiBot活动的时机需要慎重考虑。 

• 利用面向公众的服务和本地应用程序中的新漏洞和长期存在但未修补的漏洞
• 包含恶意 Microsoft Office 文件附件（.docx和.xlsx）的网络钓鱼活动，这些文件依赖于用户交互来启用 VBA 宏，从而感染目标系统
• 包含恶意 Microsoft Office 文件附件（.docx和.xlsx）的网络钓鱼活动可利用多个零点击漏洞（如恶意 HTA 执行和内存破坏漏洞）获取初始访问权限
• 包含恶意富文本格式（.rtf）文件附件的垃圾邮件
• 包含.iso映像文件的网络钓鱼活动，这些文件会在点击时自动加载，并包含恶意可执行文件或文档
• 包含利用已知 Adobe 漏洞的.pdf文件附件的网络钓鱼活动 
• 利用隐写术将恶意有效载荷隐藏在图像文件中，然后再提取、解码和执行
• 用盗版电子游戏或其他软件的木马版本诱惑受害者
• 滥用 Windows 安装程序进行安装
• 使用一种称为 "进程空洞化"的技术，劫持已知的 Windows 进程，以避免被安全产品检测到
• 使用嵌入在 Windows 脚本文件 (WSF)、Visual Basic 脚本 (VBS) 和 PowerShell 脚本中的严重混淆的有效载荷，以保持不被检测到
• 使用带有严重混淆字符串的预编译二进制文件

不过，与其他顶级恶意软件相比，LokiBot 在获得初始访问权限后，其第二阶段的功能范围略显有限。LokiBot 可以从 Windows 和安卓设备上的 100 多个流行软件应用程序中窃取系统和网站凭据、加密货币钱包和个人身份信息 (PII)，还可以记录和窃取键盘输入。至关重要的是，LokiBot 为攻击者提供远程代码执行 (RCE)，允许部署更高级的第二阶段恶意软件（最常见的是勒索软件）。 

虽然 LokiBot 最初是为利用基于 Windows 的系统而开发的，但后来它被移植到了安卓操作系统上，并以预装感染的形式传播到了转售的安卓设备上--在购买以前拥有的安卓设备时要注意这一点。此外，由于 LokiBot 在使用新颖且不易察觉的传输和解压技术时会格外小心，因此防范 LokiBot 的最佳方法是在打开文档或安装软件之前保持谨慎。

• 对所有关键服务，尤其是网上银行和加密货币账户，实施多因素身份验证 (MFA) 和强密码政策
• 考虑开展用户意识培训，让员工了解网络钓鱼技术；制定处理可疑电子邮件和文件的标准操作程序 (SOP)；配置电子邮件客户端，以便在电子邮件来自组织外部时通知用户
• 认识到加密文件带来的更大风险，并在打开此类文件前彻底核实其来龙去脉
• 确保所有端点只安装经授权的数字签名软件；定期扫描并阻止任何未经授权的软件执行
• 安装和配置端点安全产品，这些产品可在加密文件解密后立即对其进行扫描，检测入侵迹象 (IOC)，并采取防御措施阻止恶意文件的执行
• 尽可能实施零信任解决方案，优先考虑关键系统 
• 确保 Office 应用程序配置了 "在没有通知的情况下禁用所有宏 " 或"禁用除数字签名宏以外的所有宏 " 设置
• 确保在整个 IT 环境中应用更新和安全补丁，包括安全产品、操作系统和应用程序
• 在构建网络时使用最小权限原则，除非需要，否则避免将用户添加到本地管理员组中
• 使用内容代理监控互联网使用情况，限制用户访问可疑或有风险的网站