Loki
Loki разработан для внедрения бэкдора в приложения Electron путем замены их JavaScript-файлов на файлы C2 сервера Loki. Это позволяет обойти механизмы контроля приложений, используя доверие к подписанным уязвимым приложениям Electron для выполнения кода на целевой системе.
Electron позволяет разрабатывать кросс-платформенные настольные приложения с использованием веб-технологий, таких как JavaScript, HTML и CSS. Поскольку такие приложения исполняют JavaScript-код во время выполнения, злоумышленники могут модифицировать эти файлы для внедрения произвольного Node.js-кода в процесс приложения, что позволяет взаимодействовать с операционной системой через API Node.js и Chromium.
Uses Azure Storage Blobs for C2 channel.
- All C2 messages are AES encrypted with dynamically created AES keys.
- SAS Token to protect C2 storage account.
- Uses Chromium renderer child processes for agent, shellcode execution, and assembly fork-n-run style execution, so inherits proxy-aware capabilities of Chromium.
- Unlike traditional C2's where agents send messages to a Teamserver, there is no Teamserver.
- The GUI client & agents both checkin to the same data-store for commands and output.
Hidden window and does not show in taskbar after execution, Loki process is ran in background.
Robust exception handling in kernel process, if agent child process dies from an exception or bug then kernel spawns a new agent process.