LOKI:一款APT威胁指标扫描软件

2016-08-30 490004人围观 ,发现 14 个不明物体 工具

24251594622_e70c7947ca.jpg

LOKI是一款APT入侵痕迹扫描软件,以入侵威胁指标(IOC)和黑客工具特征为对象,发现入侵事件和痕迹,其内置的指标特征来自公开发布的事件报告、取证分析和恶意样本等。LOKI由德国信息安全公司Bsk-Consulting开发。

LOKI GitHub:

https://github.com/Neo23x0/Loki

LOKI支持以下四种检测模式:

*匹配文件路径和文件名的IOC检测

*匹配文件数据和进程内存的YARA恶意软件规则检测

*匹配已知恶意软件的MD5 /SHA1/SHA256哈希值检测

*匹配C&C终端连接的网络检测

其它方式检测:

*进程异常检测(基于sysforensics)

*SWF压缩文件检测

*SAM转储检测

*Regin木马文件检测(使用命令 -reginfs)

运行:

(1)克隆LOKI的github库(如果只是下载ZIP文件,请记得下载IOC特征签名子库 signature-base)

(2)提供扫描对象(移动介质、网络共享、文件夹等)

(3)以管理员方式按照命令运行loki.exe

2016-08-27_163825.jpg

LOKI内置的威胁特征库(IOC):

*“方程式组织”Equation Group APT恶意样本-(包括哈希值、卡巴斯基分析的YARA规则和10个通用规则)

*Carbanak APT-卡巴斯基分析的恶意样本哈希值和文件名IOC

*Arid Viper APT-趋势科技分析的恶意样本哈希值

*Regin恶意软件(GCHQ/NSA/FiveEyes相关)-其中的Legspin和Hopscotch模块IOC

*QUERTY 恶意软件(FiveEyes相关)-键盘记录模块IOC

*Skeleton Key APT(国家支持攻击相关)-恶意软件IOC

*WoolenGoldfish APT-SHA1哈希值和YARA规则

*OpCleaver APT(伊朗相关APT活动)-IOC

*其它180多个黑客工具YARA规则

*其它600多个网页后门YARA规则

*大量匹配的可疑文件签名

*……

LOKI收费版:

LOKI的收费版本软件THOR,规则库更强大,扫描功能更深入,请参考THOR

THOR_Overview_en_2-620x338.png

*本文译者:clouds,编译来源:Securityblog,转载须注明来自FreeBuf.COM

更多精彩
相关推荐

这些评论亮了

发表评论

已有 14 条评论

取消
Loading...
clouds

I am a robot , don't talk to me , code to me.

447 文章数 38 评论数 110 关注者

特别推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php