Pages

17 sty 2016

LOKI - dobry darmowy skaner IOC

LOKI jest darmowym narzędziem (licencja GNU) do skanowania typu Indicator of Compromise, stworzonym przez Floriana Rotha i służy m.in. do wykrywania niebezpiecznych plików malware, trojanów typu RAT oraz różnych innych narzędzi hakerskich a także wszelkich ich śladów po włamaniach do systemów informatycznych. LOKI oferuje prosty skaner, który wykryje w systemie tego typu niebezpieczne pliki. Podobnie jak oprogramowanie antywirusowe, zawiera w sobie odpowiednie definicje ("wskaźniki") złośliwych plików, trojanów i innych narzędzi do przejmowania kontroli nad systemami informatycznymi, wykorzystywanych przez hakerów a nawet zagraniczne służby specjalne (LOKI posiada m.in. definicje niektórych narzędzi wykorzystywanych przez GCHQ, NSA oraz Hacking Team - o rozbudowanym narzędziu tej ostatniej grupy pisaliśmy m.in. tutaj). LOKI polecamy głównie administratorom ale także zainteresowanym i dbającym o bezpieczeństwo użytkownikom.
Darmowy skaner LOKI działa na systemach 32 oraz 64 bitowych i nie wymaga instalacji.
Okno główne narzędzia LOKI z widocznymi
załadowanymi "wskaźnikami" złośliwych plików
Obecna wersja 0.13.1 oferuje cztery główne rodzaje wskaźników, wykorzystujące:
  • nazwy złośliwych i szkodliwych plików IOC;
  • sygnatury YARA;
  • hashe złośliwych i szkodliwych plików;
  • połączenia wsteczne C2.
Sygnatury YARA to specyficzne sygnatury malware i różnych narzędzi hakerskich, które są wykorzystywane m.in. przez takie projekty/laboratoria jak: Virus Total, FireEye, Kaspersky, CrowdStrike, Blue Coat, Trend Micro oraz Websense.

Narzędzie LOKI można pobrać z serwisu GitHub pod tym adresem:
https://github.com/Neo23x0/Loki/archive/master.zip

UWAGA!
Z racji wykorzystywanych mechanizmów, niektóre antywirusy mogą fałszywie wykrywać pliki narzędzia LOKI jako złośliwe oprogramowanie, co jest normalnym stanem i informuje o tym twórca tego oprogramowania:
The compiled scanner may be detected by antivirus engines. This is caused by the fact that the scanner is a compiled python script that implement some file system and process scanning features that are also used in compiled malware code. If you don't trust the compiled executable, please compile it yourself.
Nie należy traktować takich komunikatów jako wiarygodne gdyż są to tzw. false positives.
Użytkownik może również sam skompilować sobie narzędzie LOKI.

[Dodano 21.02.2016 r.]
Sygnatury i definicje wirusów i złośliwego oprogramowania (wskaźniki) pobieramy z serwisu GitHub pod tym adresem:
https://github.com/Neo23x0/signature-base/archive/master.zip

Sygnatury LOKI (pliki oraz foldery: yara, threatintel, misc, iocs) wypakowujemy do folderu: signature-base w katalogu głównym LOKI.

Po pobraniu powyższych plików z GitHub i rozpakowaniu narzędzia i sygnatur, można uruchomić plik loki.exe z opcją "Uruchom jako administrator". LOKI automatycznie wczyta wszystkie dostępne wskaźniki i rozpocznie skanowanie.

LOKI zawiera m.in. wskaźniki powiązane z:
  • Malware grupy Equation (Hashe, sygnatury Yara od Kasperskiego oraz 10 autorskich reguł wygenerowanych przez autora narzędzia LOKI);
  • Carbanak APT – (Hashe, nazwy plików IOCs);
  • Arid Viper APT – (Hashe);
  • Anthem APT Deep Panda (oficjalnie niepotwierdzone); 
  • APT jednostki 78020;
  • Malware Regin (GCHQ / NSA / FiveEyes - w tym Legspin oraz Hopscotch);
  • Five Eyes QUERTY Malware;
  • Skeleton Key Malware; 
  • Lenovo Superfish (sygnatury Yara); 
  • Duqu 2 (sygnatury Yara);
  • WoolenGoldfish – (hashe SHA1, sygnatury Yara);
  • OpCleaver (kampania APT rodem z Iranu);
  • Ransomware Locky;
  • Narzędziami grupy Hacking Team - (sygnatury Yara);
  • Ponad 180 narzędziami hakerskimi - (sygnatury Yara);
  • Ponad 600 innymi złośliwymi plikami - (sygnatury Yara);
  • Złośliwymi plikami malware - (ponad 10 000 hashy MD5, SHA1 i SHA256);
  • Wieloma innymi podejrzanymi plikami - (ponad 1000 sygnatur regex).
Jak widzicie powyżej, LOKI jest ogromną bazą złośliwych plików i narzędzi, warto zatem przeskanować swój system pod kątem ich występowania. Poniżej przedstawiamy trzy możliwe scenariusze podczas skanowania plików przez narzędzie LOKI:

Wszystko w zieleni - system wydaje się być czysty.
 (źródło: www.bsk-consulting.de)
Widoczne żółte ostrzeżenia - system zawiera podejrzane pliki.
 (źródło: www.bsk-consulting.de)
Widoczne czerwone ostrzeżenia - system zawiera złośliwe pliki!
 (źródło: www.bsk-consulting.de)

LOKI jest darmową i uboższą wersją narzędzia o nazwie THOR, które jest płatne ale za to o wiele bardziej rozbudowane. Więcej informacji znajdziecie pod tym adresem:
oraz w tym dokumencie PDF:

Wersję TRIAL narzędzia THOR możecie zamówić pod tym adresem:

Strona internetowa projektu LOKI:
https://github.com/Neo23x0/Loki

Najnowsze sygnatury do LOKI (bez nich LOKI się nie uruchomi):
https://github.com/Neo23x0/signature-base

Strona internetowa projektu sygnatur Yara:

Źródło:
https://www.bsk-consulting.de
https://github.com/Neo23x0/Loki
https://en.wikipedia.org

2 komentarze:

  1. Niestety po odpaleniu z uprawnieniami admina program podaje komunikat:
    Simple IOC Scanner

    (C) Florian Roth
    August 2015
    Version 0.15.1

    DISCLAIMER - USE AT YOUR OWN RISK

    [NOTICE] Starting Loki Scan SYSTEM: nazwa: 20160221T11:55:44Z PLA
    TFORM: windows
    Traceback (most recent call last):
    File "", line 802, in initialize_filename_iocs
    WindowsError: [Error 3] System nie mo┐e odnalečŠ okreťlonej ťcie┐ki: 'D:\\Loki-master\\./signature-base/iocs/*.*'
    Traceback (most recent call last):
    File "", line 1239, in
    File "", line 119, in __init__
    File "", line 851, in initialize_filename_iocs
    UnboundLocalError: local variable 'ioc_filename' referenced before assignment

    D:\Loki-master>

    OdpowiedzUsuń
  2. Brakuje sygnatur baz wirusów i złośliwego oprogramowania. Należy pobrać je ze strony projektu:

    https://github.com/Neo23x0/signature-base

    a następnie skopiować zawartość (pliki oraz foldery: yara, threatintel, misc, iocs) do folderu: signature-base

    Najnowsze sygnatury zawierają także definicje ransomware Locky, o którym pisaliśmy 2 dni temu.

    OdpowiedzUsuń