loki

loki

投稿

LOKI:一款APT威胁指标扫描软件

clouds2016-08-30239324人围观 ,发现 14 个不明物体工具

24251594622_e70c7947ca.jpg

LOKI是一款APT入侵痕迹扫描软件,以入侵威胁指标(IOC)和黑客工具特征为对象,发现入侵事件和痕迹,其内置的指标特征来自公开发布的事件报告、取证分析和恶意样本等。LOKI由德国信息安全公司Bsk-Consulting开发。

LOKI GitHub:

https://github.com/Neo23x0/Loki

LOKI支持以下四种检测模式:

*匹配文件路径和文件名的IOC检测

*匹配文件数据和进程内存的YARA恶意软件规则检测

*匹配已知恶意软件的MD5 /SHA1/SHA256哈希值检测

*匹配C&C终端连接的网络检测

其它方式检测:

*进程异常检测(基于sysforensics)

*SWF压缩文件检测

*SAM转储检测

*Regin木马文件检测(使用命令 -reginfs)

运行:

(1)克隆LOKI的github库(如果只是下载ZIP文件,请记得下载IOC特征签名子库 signature-base)

(2)提供扫描对象(移动介质、网络共享、文件夹等)

(3)以管理员方式按照命令运行loki.exe

2016-08-27_163825.jpg

LOKI内置的威胁特征库(IOC):

*“方程式组织”Equation Group APT恶意样本-(包括哈希值、卡巴斯基分析的YARA规则和10个通用规则)

*Carbanak APT-卡巴斯基分析的恶意样本哈希值和文件名IOC

*Arid Viper APT-趋势科技分析的恶意样本哈希值

*Regin恶意软件(GCHQ/NSA/FiveEyes相关)-其中的Legspin和Hopscotch模块IOC

*QUERTY 恶意软件(FiveEyes相关)-键盘记录模块IOC

*Skeleton Key APT(国家支持攻击相关)-恶意软件IOC

*WoolenGoldfish APT-SHA1哈希值和YARA规则

*OpCleaver APT(伊朗相关APT活动)-IOC

*其它180多个黑客工具YARA规则

*其它600多个网页后门YARA规则

*大量匹配的可疑文件签名

*……

LOKI收费版:

LOKI的收费版本软件THOR,规则库更强大,扫描功能更深入,请参考THOR

THOR_Overview_en_2-620x338.png

*本文译者:clouds,编译来源:Securityblog,转载须注明来自FreeBuf.COM

这些评论亮了

  • JAZ123321(3级)回复
    不错的扫描软件
    )8(亮了
发表评论

已有 14 条评论

  • JAZ123321 (3级) 2016-08-30回复1楼

    不错的扫描软件

    亮了(8)
  • langyajiekou (5级) 2016-08-30回复2楼

    提供扫描对象(移动介质、网络共享、文件夹等),是针对文件系统而不是针对机器?

    亮了(4)
  • 死宅10086 (6级) 2016-08-30回复3楼

    看看 :cool:

    亮了(5)
  • 鬼魅羊羔 (4级)网络尖刀的小屌丝一枚。 2016-08-30回复4楼

    感觉不错,正在测试中。。。看看效果如何。。。

    亮了(4)
    • 墨霝 (2级) 2017-01-12回复

      @ 鬼魅羊羔  前辈,能问一下安装环境么?

      亮了(1)
  • 看雪网友 2016-08-30回复5楼

    洛基?看来要开发个叫Thor的防护软件

    亮了(5)
  • kurt_nan (1级) 2016-08-30回复6楼

    咋一看还以为只有windows平台能用呢 :mrgreen:

    亮了(4)
    • 鬼魅羊羔 (4级)网络尖刀的小屌丝一枚。 2016-08-30回复

      @ kurt_nan  linux平台能用?我这好几个Python2.6和2.7都不行啊。。

      亮了(2)
      • langfeng (1级)安全的本质是信任,安全的表现是攻防。 2016-08-31回复

        @ 鬼魅羊羔  我也试了,运行报错,感觉用不了

        亮了(2)
      • 鬼魅羊羔 (4级)网络尖刀的小屌丝一枚。 2016-08-31回复

        @ langfeng  感觉这东西扫描巨慢。。。巨慢。。。

        亮了(2)
  • hela 2016-08-31回复7楼

    这么取名Marvel同意了吗

    亮了(3)
  • topses (1级) 2016-09-01回复8楼

    关键是如何只输出[ALERT]告警信息呢?

    亮了(0)
  • 鬼魅羊羔 (4级)网络尖刀的小屌丝一枚。 2016-09-01回复9楼

    optional arguments:
    -h, –help show this help message and exit
    -p path Path to scan
    -s kilobyte Maximum file site to check in KB (default 2000 KB)
    –printAll Print all files that are scanned
    –noprocscan Skip the process scan
    –nofilescan Skip the file scan
    –noindicator Do not show a progress indicator
    –debug Debug output

    参数翻译:
    可选参数:
    -l 路径,log日志输出位置;例如:-l c:\scan.log
    – h,-帮助显示这个帮助信息和退出
    – p,扫描路径路径,例如:loki.exe -p c:\windows\system32\
    – s ,检查的最大文件值(默认2000 KB)
    –printAll,打印所有文件扫描
    –noprocscan,跳过扫描过程
    –nofilescan,跳过文件扫描
    –noindicator,不显示进度指示器
    –debug,调试调试输出

    亮了(0)
  • 墨霝 (2级) 2017-01-12回复10楼

    用不了,各种环境。。各种坑,有人成功么?

    亮了(0)
表情插图

取消

clouds

clouds

I am a robot ,do not talk to me ,code to me.

135 篇文章35 条评论

相关阅读

  • APT防御的他山石—思科内部安全团队解读APT
  • 卡巴斯基辣评2016安全趋势:APT攻击将死,“后门买卖”会更加活跃
  • FireEye:数字面包屑 – 识别APT攻击来源的7大线索
  • 中国黑客被指责曝光了450万患者的信息
  • 探寻APT的化学本质与破解之术

特别推荐

关注我们 分享每日精选文章

不容错过

  • [Blackhat]2014美国黑帽大会有哪些精彩的议题?FB情报组2014-08-07
  • 如何基于菜刀PHP一句话实现单个文件批量上传?安全小飞侠2015-12-28
  • FreeBuf公开课:Wi-Fi安全与渗透测试(第一集)FB视频2015-03-25
  • Hacking Team流量攻击之EXE攻击分析LiukerTeam2016-01-23

css.php

正在加载中…

Leave a Reply