Loki是一款免费且简单的IOC(妥协指标)扫描仪,完全重写了APT扫描仪THOR的主要分析模块。
检测基于四种检测方法:
文件名IOC
正则表达式匹配完整的文件路径/名称
Yara规则检查
Yara签名匹配文件数据和进程内存
哈希检查
将已知的恶意哈希(MD5,SHA1,SHA256)与扫描的文件进行比较
C2后面连接检查
将过程连接端点与C2 IOC进行比较(从版本v.10开始新增)
其他支票:
Regin文件系统检查(通过–reginfs)
处理异常检查(基于Sysforensics)
SWF解压缩扫描(从版本v0.8开始新增)
SAM转储检查
DoublePulsar检查 – 尝试检测端口445 / tcp和3389 / tcp上的DoublePulsar后门程序
PE-Sieve过程检查
Windows二进制文件使用PyInstaller 2.1进行编译,并且应该在基于x86和x64的系统上作为x86应用程序运行。
如何运行LOKI并分析报告
跑:
下载最新的LOKI版本
运行一次以检索最新的签名库存储库
将文件夹提供给应扫描的目标系统:可移动媒体,网络共享,目标系统上的文件夹
右键单击loki.exe,然后选择“以管理员身份运行”或以管理员身份打开命令行“cmd.exe”,然后从中运行它(您也可以在没有管理权限的情况下运行LOKI,但某些检查将被禁用且相关对象磁盘将无法访问)
报告:
结果报告将显示绿色,黄色或红色结果行。
请自行分析研究结果:
将非保密样本上传到Virustotal.com
在网上搜索文件名
在网络中搜索规则名称中的关键字(例如,EQUATIONGroupMalware_1>搜索“方程组”)
在网上搜索样本的MD5哈希
在我的客户APT搜索引擎中搜索文件名或标识符
请通过问题部分报告误报(提及假阳性指标,如散列和/或文件名以及触发的规则名称)
用法:
loki.exe [-h] [-p路径] [-s千字节] [-l日志文件] [-r远程日志主机]
[-a警报级别] [-w警告级别] [-n通知级别]
[–printAll] [–allreasons] [–noprocscan] [–nofilescan]
[–scriptanalysis] [–rootkit] [–noindicator] [–reginfs]
[–dontwait] [–intense] [–csv] [–onlyrelevant] [–nolog]
[–update] [–debug]
Loki – 简单的IOC扫描仪
可选参数:
-h,–help显示此帮助信息并退出
-p路径扫描路径
-s千字节要检入的最大文件大小KB(默认5000 KB)
-l日志文件日志文件
-r remote-loghost远程系统日志系统
– 警报级警报评分
-w警告级别警告分数
-n通知级别通知分数
–printAll打印所有扫描的文件
–allreasons打印导致得分的所有原因
–noprocscan跳过进程扫描
–nofilescan跳过文件扫描
–scriptanalysis激活脚本分析(测试版)
–rootkit跳过rootkit检查
–noindicator不显示进度指示器
–reginfs检查Regin虚拟文件系统
–dontwait不要等待退出
– 强烈激烈的扫描模式(也扫描未知的文件类型和所有
扩展)
–csv将CSV日志格式写入标准输出(机器程序)
– 仅适用于仅打印警告或警报
–nolog不要编写本地日志文件
–update更新“signature-base”子签名
知识库
– 调试调试输出
更新:
LOKI包含一个名为loki- upgrader.exe或loki-upgrader.py的独立更新工具。
用法:loki-upgrader.py [-h] [-l日志文件] [–sigsonly] [–progonly] [–nolog]
[–debug]
Loki – 升级
可选参数:
-h,–help显示此帮助信息并退出
-l日志文件日志文件
–sigsonly只更新签名
– 只能更新程序文件
–nolog不要编写本地日志文件
– 调试调试输出
它允许您更新Windows编译的loki.exe和基于签名的源代码。
当运行loki.exe –update时,它会创建一个新的升级程序并退出LOKI,以便用新的升级程序替换loki.exe,否则将被锁定。
下载地址:
https://github.com/Neo23x0/Loki/releases
文章出处:
http://www.effecthacking.com
暂无评论内容