2.通过软件漏洞入侵，例如Office漏洞，构造恶意文档或Excel表。

　　通过对样本进行查壳分析，得知该样本为自解压程序，通过诱导用户点击从而实现自解压。

　　通过查看缓冲区内容可以得知，写入的内容为调度指令，通过Buffer缓冲区的内容将写入injnxgi.bat。

　　打开injngi.bat对比缓冲区内容，确实是将缓冲区内容写入injngi.bat文件欧宝平台，这也是第一步的落地文件。

　　在injngi.bat处理完成后，又创建injnxgi.sfx.exe文件，从名字中可以看出这是一个可执行的PE文件。

　　同样的通过缓冲区内容可以看出，写入的内容为PE文件，将缓冲区的内容写入injnxgi.sfx.exe文件。

　　自此整个文件相关的操作就已全部完成，最后以CreateProcessW API启动位于temp目录下的injnxgi.bat文件，母体进程就此退出。

　　三、injnxgi.bat injnxgi.bat为母体文件释放的批处理文件，其作用在于通过批处理完成后续步骤。

　　通过之前母体文件分析得知，最后是通过以CreateProcessW的形式启动批处理injnxgi.bat文件。

　　对落地文件injnxgi.sfx.exe进行查看，injnxgi.sfx.exe本身依旧还是自解压程序，同样会释放出落地文件。

　　最后通过CreateProcessW API创建进程，启动位于对应目录下的injnxgi.exe。自此整个自解压过程结束，释放出最重要的落地文件injnxgi.exe。

　　injnxgui.exe就是Loki的信息窃取主体，但是由于被加壳保护，无法直接查看具体功能实现的代码。

　　通过dnSpy加载目标程序，函数名被混淆，同时由于壳的保护导致无法进行调试运行。

　　通过对injnxgui.exe进行监控，发现通过injnxgui.exe有如下操作：1.释放文件到%appdata%目录，创建6位长的字符串目录，并将其一并隐藏。

　　修改文件属性，从而实现文件隐藏，目录位于%appdata%目录之下，隐藏的目录位A04E55、隐藏的文件名位50265B.exe。

　　通过管理员权限启动cmd命令行，使用attrib指令即可列出当前隐藏的文件。

　　通过wireshark对程序进行流量抓包，目标主机91.92.252.146已经失去响应。

　　通过对91.92.252.146IP地址进行回溯，发现同期在3月-5月间存在多次检测记录，其中5月10日就是目标样本injnxgi.exe。

　　对部分样本进行数据查看发现，被上传文件的名字均为server1.exe，且都有对目标91.92.252.146进行URL通行。从3月-5月的样本中发现通信地址欧宝平台，如下所示：

　　1.在%APPDATA%目录下创建6位字符串的隐藏目录，并将目录内的文件隐藏。2.创建6位字符串的lck文件，其作用为防止资源冲突。

　　目标样本符合第一点和第二点，并且其回连C2服务器已被确定为LokiBot。

　　Wireshark抓取的请求信息如下所示，数据包含用户信息、主机名等关键信息，其中包含固定特征ckav.ru，Content-Key等。

　　迪普科技终端检测与响应系统从静态防御和动态防御两个维度专门定制了对恶意软件的围猎矩阵，欧宝平台覆盖恶意软件破坏前、破坏中、破坏后全生命周期，并通过专用AI模型实现静态检测，再配合行为狩猎和诱捕实现动态防护。

　　迪普科技先知威胁感知大数据平台通过对全网流量实时分析，并基于专有的恶意软件监测大屏实时监测恶意软件的攻击情况及攻击影响范围，同时可基于预设的SOAR策略联动全网安全防护设备对恶意软件进行自动响应处置，实现快速、高效响应，有效防护恶意软件在内的多种威胁。

　　随着《数据安全法》和《个人信息保护法》相继出台，国家对数据安全的重视程度达到了前所未有的新高度。由于数据泄露事件逐年增加，数据多维度防泄漏需求也在随之增多。迪普科技数据防泄漏系统，通过智能内容识别技术判断数据敏感度，从终端、网络两个维度帮助用户构建内部数据安全防护体系，为使用终端电脑、文件服务器、应用系统、互联网、外接设备、电脑屏幕等IT环境内资源时带来的泄漏风险、数据安全问题提供整体解决方案。

　　迪普科技安全服务团队具备专业的技术和丰富的经验，能够有效地防范、检测和应对恶意软件攻击。在事前开展安全意识宣贯培训，防范恶意软件传播；事中通过先知威胁感知大数据平台及APT安全检测平台进行检测和分析；事后迅速响应，协助客户制定应对策略，进行恶意软件定位，降低损失。

　　1.安装和定期更新杀毒软件：使用信誉良好的杀毒软件，并确保它们处于最新状态，以确保及时检测和清除LokiBot等恶意软件。2.注意电子邮件和附件：避免点击未知发件人的电子邮件链接或下载附件，这可能是LokiBot的传播途径之一。

　　3.谨慎下载软件：只从官方网站或可信来源下载软件，并避免下载和安装来历不明的软件，以减少感染风险。

　　4.更新操作系统和应用程序：定期更新操作系统、浏览器和其他应用程序，以修补已知漏洞，降低LokiBot利用漏洞进行入侵。

　　5.使用防火墙和网络安全工具：配置和使用防火墙以及其他网络安全工具，以监控和阻止恶意活动，包括LokiBot的传播和通信欧宝平台。

　　6.多因素身份验证：启用多因素身份验证以增强账户的安全性，即使LokiBot窃取了登录凭证，也能降低被盗的风险。

　　7.加强教育和培训：个人应接受有关网络安全和恶意软件的培训，做到能够识别潜在的威胁，并知道如何应对LokiBot等恶意软件的攻击。

　　迪普科技多年来致力于网络安全研究，对重要网络安全事件、安全漏洞进行快速分析、响应，具备国内一流的威胁情报分析、人工智能和大数据团队。作为网络安全行业主力军，迪普科技将持续跟进前沿的安全攻防研究、热点安全事件、重大漏洞等，欧宝平台更好地为政企用户提供最新安全事件以及安全漏洞的通报及响应处置服务。

　　“科特估”高成长50强出炉，聪明资金重仓1081亿元，12股3年净利润增速均值超100%

　　已有147家主力机构披露2023-12-31报告期持股数据，持仓量总计1.65亿股，占流通A股39.24%

　　近期的平均成本为11.93元。空头行情中，目前反弹趋势有所减缓，投资者可适当关注。该公司运营状况良好，多数机构认为该股长期投资价值较高。