ロキボット

2015年に初めて報告されたLokiBotは、クレデンシャル・ハーベスター、インフォステーラー、リモート・アクセス・トロイの木馬（RAT）に分類されます。LokiBotは、その使いやすさとターゲットシステムへの初期アクセス獲得の有効性から、人気の高い情報窃取ツールです。LokiBotはまた、2つの異なるバージョンを持つMaaS（Malware-as-a-Service）でもあります。正規版はアンダーグラウンド市場で300ドルから販売され、クラック版は約80ドルで販売されている。2020年、LokiBotは活動を活発化させ、世界最大のボットネットを制御するようになり、その後、CISAの2021年マルウェア上位11種類のリストに掲載されました。

LokiBotは、情報窃取とクレデンシャル・ハーベスティングを中心とした比較的短い終盤機能を備えていますが、攻撃者がランサムウェアを含む追加ツールを簡単にインポートできるリモートコード実行（RCE）機能を提供しています。このRCE機能だけでも、LokiBotは危険度の高いマルウェアの一種です。しかし、LokiBotの最大の強みは、非常に汎用性が高く、洗練されたファーストステージの配信および解凍方法であり、セカンドステージの手口、すなわち、より深いネットワークへの侵入や横方向への移動を得意とするマルウェアをインポートするためのステージャーとして頻繁に使用される要因となっています。LokiBotのもう1つの武器は、AndroidデバイスやWindowsベースのシステムを侵害する能力です。

ロキボットのアクティビティは、使用中の急激なスパイクに続いて休眠ダウンタイムの段階と、満ち欠けを繰り返しており、大規模なロキボット・キャンペーンのタイミングには慎重な配慮が必要だと結論付ける人もいる。 

• 公衆向けサービスやローカル・アプリケーションに存在する、新しい脆弱性や長期にわたってパッチが適用されていない脆弱性を悪用する。
• 悪意のあるMicrosoft Officeファイル(.docxおよび.xlsx)を添付したフィッシングキャンペーンは、ユーザーの操作に依存し、ターゲットシステムに感染するVBAマクロを有効にします。
• 悪意のあるMicrosoft Officeファイル（.docxおよび.xlsx）の添付ファイルを含むフィッシングキャンペーンは、悪意のあるHTA実行やメモリ破壊の脆弱性など、いくつかのゼロクリック脆弱性を利用して初期アクセスを得ることができます。
• 悪意のあるリッチテキストフォーマット（.rtf）ファイルを添付したスパムメール
• クリックすると自動的にマウントされ、悪意のある実行ファイルや文書を含む.isoイメージファイルを含むフィッシングキャンペーン
• Adobeの既知の脆弱性を悪用した.pdfファイルの添付ファイルを含むフィッシングキャンペーン 
• ステガノグラフィーを使って悪意のあるペイロードを画像ファイルに隠し、後でそれを抽出、解読、実行する。
• 海賊版ビデオゲームやその他のソフトウェアのトロイの木馬バージョンで被害者を誘惑する。
• Windowsインストーラーを悪用したインストール
• プロセスの空洞化として知られるテクニックを使用し、既知のWindowsプロセスをハイジャックしてセキュリティ製品による検出を回避する。
• Windows Script Files (WSF)、Visual Basic Script (VBS)、PowerShellスクリプトに埋め込まれた高度に難読化されたペイロードを使用して、検出されないようにする。
• 難読化された文字列を含むコンパイル済みバイナリの使用

しかし、最初のアクセスを獲得した後、LokiBot のセカンドステージの機能範囲は、他のトップマルウェア株と比較してやや限定的です。LokiBotは、WindowsおよびAndroidデバイス上の100以上の一般的なソフトウェアアプリケーションから、システムおよびWebサイトの認証情報、暗号通貨のウォレット、個人を特定できる情報（PII）を盗み出し、キー入力をログに記録して流出させることができます。LokiBotは、攻撃者にリモートコード実行（RCE）を提供し、より高度なセカンドステージのマルウェア（多くの場合、ランサムウェア）の展開を可能にします。 

LokiBotは、当初Windowsベースのシステムを悪用するために開発されましたが、その後Android OSを攻撃するために移植され、転売されたAndroidデバイスにプリインストールされた感染として配布されています。また、LokiBot は、検出不可能な斬新な配信や解凍テクニックを使用するため、LokiBot に対する最善の防御策は、ドキュメントを開いたりソフトウェアをインストールしたりする前に慎重になることです。

• すべての重要なサービス、特にオンライン・バンキングと暗号通貨口座のための多要素認証（MFA）と強力なパスワード・ポリシーを施行する。
• フィッシングのテクニックについて従業員を教育するためのユーザー意識向上トレーニングを検討する。不審な電子メールや文書を処理するための標準操作手順(SOP)を作成する。
• 暗号化されたファイルがもたらすリスクの増大を認識し、そのような文書を開く前に、その文脈を十分に確認する。
• デジタル署名された正規ソフトウェアのみがすべてのエンドポイントにインストールされるようにする。
• 暗号化された文書が暗号化解除された直後にスキャンし、侵害の兆候（IOC）を検出し、悪意のあるファイルの実行をブロックする防御措置を講じるエンドポイントセキュリティ製品をインストールし、設定する。
• 重要なシステムを優先して、可能な限りゼロ・トラスト・ソリューションを導入する。 
• Officeアプリケーションが、「通知なしですべてのマクロを無効にする 」または「デジタル署名されたマクロ以外を無効にする 」設定で構成されていることを確認する。
• セキュリティ製品、オペレーティング・システム、アプリケーションなど、IT環境全体にアップデートとセキュリティ・パッチが適用されていることを確認する。
• ネットワークを構築する際には、最小特権の原則を使用し、必要な場合を除き、ユーザーをローカル管理者グループに追加しない。
• コンテンツ・プロキシを使ってインターネット利用を監視し、不審なサイトや危険なサイトへのアクセスを制限する。