CISA 警告：LokiBot 惡意軟件攻擊顯著增加

美國網絡安全和基礎設施安全局（CISA）發布了新的安全公告，警告聯邦機構和私營部門自2020年7月以來使用LokiBot惡意軟件的攻擊激增。

該機構的EINSTEIN入侵檢測系統已檢測到與LokiBot惡意軟件相關的持續惡意活動。

“自2020年7月以來，CISA觀察到惡意網絡參與者對LokiBot惡意軟件的使用顯著增加。在此期間，CISA的EINSTEIN入侵檢測系統保護了聯邦，民用行政部門網絡，已檢測到持續的惡意LokiBot活動。” 閱讀CISA的建議。

惡意軟件Lokibot自2015年以來一直很活躍，它參與了許多malspam活動，目的是從網絡瀏覽器、電子郵件客戶端和管理工具中獲取憑證，也被用來攻擊加密貨幣錢包的所有者。

該惡意軟件能夠竊取敏感信息（各種憑據，包括FTP憑據，存儲的電子郵件密碼，存儲在瀏覽器中的密碼以及大量其他憑據）。最初的LokiBot惡意軟件是由黑客通過在線開發和銷售的，黑客以別名“ lokistov”（又名Carter）上線。

該惡意代碼最初在許多黑客論壇上發布的價格高達300美元，后來其他威脅者開始在地下網絡犯罪中以不到80美元的價格提供該惡意代碼 。

長期以來，威脅的作者實施了新功能，例如實時按鍵記錄以捕獲按鍵，桌面截屏和功能。

該CISA LokiBot咨詢包括LokiBot攻擊檢測簽名和緩解建議。

以下是緩解措施:

• 維護最新的防病毒簽名和引擎。請參閱防止惡意代碼。
• 保持操作系統修補程序為最新。請參閱了解修補程序和軟件更新。
• 禁用文件和打印機共享服務。如果需要這些服務，請使用強密碼或Active Directory身份驗證。
• 強制執行多因素身份驗證。有關更多信息，請參見補充密碼。
• 限制用戶安裝和運行不需要的軟件應用程序的能力（權限）。除非需要，否則請勿將用戶添加到本地管理員組。
• 實施嚴格的密碼策略。請參閱選擇和保護密碼。
• 打開電子郵件附件時，請謹慎操作，即使期望附件并且發件人似乎是已知的也是如此。請參閱對電子郵件附件使用警告。
• 在代理工作站上啟用個人防火墻，該工作站被配置為拒絕未經請求的連接請求。
• 在代理工作站和服務器上禁用不必要的服務。
• 掃描并刪除可疑的電子郵件附件；確保掃描的附件是其“真實文件類型”（即，擴展名與文件頭匹配）。
• 監控用戶的網頁瀏覽習慣；限制對內容不利的網站的訪問。
• 使用可移動媒體（例如USB拇指驅動器，外部驅動器，CD）時，請格外小心。
• 執行之前，請掃描從Internet下載的所有軟件。
• 保持對最新威脅的態勢感知，并實施適當的訪問控制列表。
• 訪問“ MITRE ATT＆CK技術”頁面（在上面的表1中鏈接）以獲取其他緩解和檢測策略。