Loki - это бесплатный и простой сканер IOC (индикаторов компрометации), полностью переписавший основные модули анализа APT-сканера THOR.
Обнаружение основано на четырех методах обнаружения:
- Имя файла IOC
- Проверка правил Yara
- Проверка хэша
- C2 Проверка обратного подключения
Дополнительные проверки:
- Проверка файловой системы Regin (через --reginfs)
- Проверка аномалий процесса (на основе Sysforensics)
- Сканирование с распаковкой SWF (новое, начиная с версии v0.8)
- Проверка дампа SAM
- Проверка DoublePulsar - пытается обнаружить бэкдор DoublePulsar на портах 445 / tcp и 3389 / tcp
- Проверка процесса PE-Sieve
Как запустить LOKI и анализировать отчеты
Запустить:
- Загрузите последнюю версию LOKI
- Запустите его один раз, чтобы получить последний базовый репозиторий сигнатур
- Предоставьте папку целевой системе, которую необходимо просканировать: съемный носитель, общий сетевой ресурс, папку в целевой системе.
- Щелкните правой кнопкой мыши файл loki.exe и выберите «Запуск от имени администратора» или откройте командную строку «cmd.exe» от имени администратора и запустите его оттуда (вы также можете запускать LOKI без прав администратора, но некоторые проверки будут отключены, а соответствующие объекты будут диск будет недоступен)
Отчеты:
- В итоговом отчете будет отображаться ЗЕЛЕНАЯ, ЖЕЛТАЯ или КРАСНАЯ строка результата.
- Пожалуйста, проанализируйте результаты самостоятельно:
- загрузка неконфиденциальных образцов на Virustotal.com
- Искать в Интернете имя файла
- Поиск в Интернете ключевых слов из названия правила (например, EQUATIONGroupMalware_1> поиск «Equation Group»)
- Найдите в Интернете хеш MD5 образца
- Искать в поисковой системе APT моего клиента имена или идентификаторы файлов
- Сообщайте о ложных срабатываниях в разделе «Проблемы» (укажите индикатор ложных срабатываний, например хэш и / или имя файла, а также имя сработавшего правила)
Использование:
Код:
loki.exe [-h] [-p path] [-s kilobyte] [-l log-file] [-r remote-loghost]
[-a alert-level] [-w warning-level] [-n notice-level]
[--printAll] [--allreasons] [--noprocscan] [--nofilescan]
[--scriptanalysis] [--rootkit] [--noindicator] [--reginfs]
[--dontwait] [--intense] [--csv] [--onlyrelevant] [--nolog]
[--update] [--debug]
Loki - Simple IOC Scanner
optional arguments:
-h, --help show this help message and exit
-p path Path to scan
-s kilobyte Maximum file size to check in KB (default 5000 KB)
-l log-file Log file
-r remote-loghost Remote syslog system
-a alert-level Alert score
-w warning-level Warning score
-n notice-level Notice score
--printAll Print all files that are scanned
--allreasons Print all reasons that caused the score
--noprocscan Skip the process scan
--nofilescan Skip the file scan
--scriptanalysis Activate script analysis (beta)
--rootkit Skip the rootkit check
--noindicator Do not show a progress indicator
--reginfs Do check for Regin virtual file system
--dontwait Do not wait on exit
--intense Intense scan mode (also scan unknown file types and all
extensions)
--csv Write CSV log format to STDOUT (machine prcoessing)
--onlyrelevant Only print warnings or alerts
--nolog Don't write a local log file
--update Update the signatures from the "signature-base" sub
repository
--debug Debug outputОбновление:
LOKI включает отдельный инструмент обновления под названием loki-upgradeder.exe или loki-upgrader.py .
Код:
usage: loki-upgrader.py [-h] [-l log-file] [--sigsonly] [--progonly] [--nolog]
[--debug]
Loki - Upgrader
optional arguments:
-h, --help show this help message and exit
-l log-file Log file
--sigsonly Update the signatures only
--progonly Update the program files only
--nolog Don't write a local log file
--debug Debug outputПри запуске loki.exe --update он создаст новый процесс обновления и выйдет из LOKI, чтобы заменить loki.exe на более новый, который в противном случае был бы заблокирован.
СКАЧАТЬ