loki
LOKI是一款APT入侵痕迹扫描软件,以入侵威胁指标(IOC)和黑客工具特征为对象,发现入侵事件和痕迹,其内置的指标特征来自公开发布的事件报告、取证分析和恶意样本等。LOKI由德国信息安全公司Bsk-Consulting开发。
LOKI GitHub:
https://github.com/Neo23x0/LokiLOKI支持以下四种检测模式:
*匹配文件路径和文件名的IOC检测
*匹配文件数据和进程内存的YARA恶意软件规则检测
*匹配已知恶意软件的MD5 /SHA1/SHA256哈希值检测
*匹配C&C终端连接的网络检测
其它方式检测:
*进程异常检测(基于sysforensics)
*SWF压缩文件检测
*SAM转储检测
*Regin木马文件检测(使用命令 -reginfs)
运行:
(1)克隆LOKI的github库(如果只是下载ZIP文件,请记得下载IOC特征签名子库 signature-base)
(2)提供扫描对象(移动介质、网络共享、文件夹等)
(3)以管理员方式按照命令运行loki.exe
LOKI内置的威胁特征库(IOC):
*“方程式组织”Equation Group APT恶意样本-(包括哈希值、卡巴斯基分析的YARA规则和10个通用规则)
*Carbanak APT-卡巴斯基分析的恶意样本哈希值和文件名IOC
*Arid Viper APT-趋势科技分析的恶意样本哈希值
*Regin恶意软件(GCHQ/NSA/FiveEyes相关)-其中的Legspin和Hopscotch模块IOC
*QUERTY 恶意软件(FiveEyes相关)-键盘记录模块IOC
*Skeleton Key APT(国家支持攻击相关)-恶意软件IOC
*WoolenGoldfish APT-SHA1哈希值和YARA规则
*OpCleaver APT(伊朗相关APT活动)-IOC
*其它180多个黑客工具YARA规则
*其它600多个网页后门YARA规则
*大量匹配的可疑文件签名
*……
LOKI收费版:
LOKI的收费版本软件THOR,规则库更强大,扫描功能更深入,请参考THOR
*本文译者:clouds,编译来源:Securityblog,转载须注明来自FreeBuf.COM
- 上一篇:oclhashcat:离线hash密码破解工具官方文档(中文版)
- 下一篇:如何将旧电脑改造为渗透工具
关注我们 分享每日精选文章
0daybank
已有 14 条评论
不错的扫描软件
提供扫描对象(移动介质、网络共享、文件夹等),是针对文件系统而不是针对机器?
看看
感觉不错,正在测试中。。。看看效果如何。。。
@ 鬼魅羊羔 前辈,能问一下安装环境么?
洛基?看来要开发个叫Thor的防护软件
咋一看还以为只有windows平台能用呢
@ kurt_nan linux平台能用?我这好几个Python2.6和2.7都不行啊。。
@ 鬼魅羊羔 我也试了,运行报错,感觉用不了
@ langfeng 感觉这东西扫描巨慢。。。巨慢。。。
这么取名Marvel同意了吗
关键是如何只输出[ALERT]告警信息呢?
optional arguments:
-h, –help show this help message and exit
-p path Path to scan
-s kilobyte Maximum file site to check in KB (default 2000 KB)
–printAll Print all files that are scanned
–noprocscan Skip the process scan
–nofilescan Skip the file scan
–noindicator Do not show a progress indicator
–debug Debug output
参数翻译:
可选参数:
-l 路径,log日志输出位置;例如:-l c:\scan.log
- h,-帮助显示这个帮助信息和退出
- p,扫描路径路径,例如:loki.exe -p c:\windows\system32\
- s ,检查的最大文件值(默认2000 KB)
–printAll,打印所有文件扫描
–noprocscan,跳过扫描过程
–nofilescan,跳过文件扫描
–noindicator,不显示进度指示器
–debug,调试调试输出
用不了,各种环境。。各种坑,有人成功么?