LOKIBOT
Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 22 Eylül 2020’de artan Lokibot aktiviteleri sebebiyle ilgili zararlı konusunda bir yazı paylaştı. Bu yazıda, Temmuz 2020’den bu yana aktivitelerde artış meydana geldiği ifade edilmiştir.
Lokibot zararlı yazılımı, ilk olarak 2015’te ortaya çıkmıştır ve günümüzde oldukça aktif bir şekilde görülmektedir. Kripto cüzdanlarını, email kullanıcı bilgilerini, admin araçlarını, kullanıcı oturum bilgilerini çalmak için web tarayıcılarını hedef aldığı bilinmektedir. Bunlara örnek olarak, kayıtlı email şifreleri, web tarayıcılarda kayıtlı şifreler gösterilebilir. Orjinal Lokibot zararlısı “lokistov” takma adıyla bilinen bir hacker tarafından geliştirilmiş ve yayınlanmıştır. Lokibot’un yeni özellikleri arasında basılan tuşun kayıtlarını alma, masaüstü ekran görüntüsü yakalama ve benzer fonksiyonlar bulunmaktadır.
Güvenlik Tedbirleri
Aşağıdaki listede CISA tarafından önerilen aksiyonlar yer almaktadır:
- Virus Koruma yazılımlarının en son sürümünde güncel olarak çalıştırılması gerekmektedir.
- İşletim Sistemi yazılımlarının en son sürümlerine güncellenmesi gerekmektedir.
- Eğer gerekli değil ise dosya ve yazıcı paylaşım servislerinin kapatılması gerekmektedir. Eğer kullanım gerekli ise güçlü şifreler veya Active Directory doğrulaması tercih edilmelidir.
- Çoklu doğrulamalı ve güçlü şifreler kullanılan politikalar gerekmektedir.
- Email güvenliği konusunda hassasiyet gösterilmelidir. Mail ekleri açılmadan önce mailin beklenen bir mail olup olmadığı, göndericisinin kim olduğu gibi kontroller yapılmalıdır.
- Kişisel firewall veya workstation tercih edilmelidir. İstenmeyen bağlantılara erişimin engellenmesi gerekmektedir.
- Sunucular veya workstation üzerinde gerekli olmayan servisler pasif (disable) hale getirilmelidir.
- Şüpheli mail ekleri virus taramasından geçirilmelidir. İlgili ekin temiz olduğu teyidi yapılmalıdır.
- Kullanıcıların web tarayıcısı davranışları takip edilmelidir. Uygunsuz ve zararlı içerikli alanlara erişim kısıtlandırılmalıdır.
- Çıkarılabilir disk araçları kullanımı konusunda dikkatli olunmalıdır.
- İnternet üzerinden indirilen tüm dosyalar, çalıştırılmadan önce virüs taramasından geçirilmelidir.
LOKIBOT VE MITRE TEKNİKLERİ
Aşağıda Mitre tarafından paylaşılan Lokibot teknikleri yer almaktadır:
Aşağıdaki listede CISA tarafından önerilen aksiyonlar yer almaktadır.
| Teknik | Kullanım |
|---|---|
| System Network Configuration Discovery [T1016] | LokiBot has the ability to discover the domain name of the infected host. |
| Obfuscated Files or Information [T1027] | LokiBot has obfuscated strings with base64 encoding. |
| Obfuscated Files or Information: Software Packing [T1027.002] | LokiBot has used several packing methods for obfuscation. |
| System Owner/User Discovery [T1033] | LokiBot has the ability to discover the username on the infected host. |
| Exfiltration Over C2 Channel [T1041] | LokiBot has the ability to initiate contact with command and control to exfiltrate stolen data. |
| Process Injection: Process Hollowing [T1055.012] | LokiBot has used process hollowing to inject into legitimate Windows process vbc.exe. |
| Input Capture: Keylogging [T1056.001] | LokiBot has the ability to capture input on the compromised host via keylogging. |
| Application Layer Protocol: Web Protocols [T1071.001] | LokiBot has used Hypertext Transfer Protocol for command and control. |
| System Information Discovery [T1082] | LokiBot has the ability to discover the computer name and Windows product name/version. |
| User Execution: Malicious File [T1204.002] | LokiBot has been executed through malicious documents contained in spearphishing emails. |
| Credentials from Password Stores [T1555] | LokiBot has stolen credentials from multiple applications and data sources including Windows operating system credentials, email clients, File Transfer Protocol, and Secure File Transfer Protocol clients. |
| Credentials from Password Stores: Credentials from Web Browsers [T1555.003] | LokiBot has demonstrated the ability to steal credentials from multiple applications and data sources including Safari and Chromium and Mozilla Firefox-based web browsers. |
| Hide Artifacts: Hidden Files and Directories [T1564.001] | LokiBot has the ability to copy itself to a hidden file and directory. |
