Loki是一款免费且简单的IOC(妥协指标)扫描仪,完全重写了APT扫描仪THOR的主要分析模块。
检测基于四种检测方法:
文件名IOC
正则表达式匹配完整的文件路径/名称
Yara规则检查
Yara签名匹配文件数据和进程内存
哈希检查
将已知的恶意哈希(MD5,SHA1,SHA256)与扫描的文件进行比较
C2后面连接检查
将过程连接端点与C2 IOC进行比较(从版本v.10开始新增)
其他支票:
Regin文件系统检查(通过--reginfs)
处理异常检查(基于Sysforensics)
SWF解压缩扫描(从版本v0.8开始新增)
SAM转储检查
DoublePulsar检查 - 尝试检测端口445 / tcp和3389 / tcp上的DoublePulsar后门程序
PE-Sieve过程检查
Windows二进制文件使用PyInstaller 2.1进行编译,并且应该在基于x86和x64的系统上作为x86应用程序运行。
如何运行LOKI并分析报告
跑:
下载最新的LOKI版本
运行一次以检索最新的签名库存储库
将文件夹提供给应扫描的目标系统:可移动媒体,网络共享,目标系统上的文件夹
右键单击loki.exe,然后选择“以管理员身份运行”或以管理员身份打开命令行“cmd.exe”,然后从中运行它(您也可以在没有管理权限的情况下运行LOKI,但某些检查将被禁用且相关对象磁盘将无法访问)
报告:
结果报告将显示绿色,黄色或红色结果行。
请自行分析研究结果:
将非保密样本上传到Virustotal.com
在网上搜索文件名
在网络中搜索规则名称中的关键字(例如,EQUATIONGroupMalware_1>搜索“方程组”)
在网上搜索样本的MD5哈希
在我的客户APT搜索引擎中搜索文件名或标识符
请通过问题部分报告误报(提及假阳性指标,如散列和/或文件名以及触发的规则名称)
用法:
loki.exe [-h] [-p路径] [-s千字节] [-l日志文件] [-r远程日志主机]
[-a警报级别] [-w警告级别] [-n通知级别]
[--printAll] [--allreasons] [--noprocscan] [--nofilescan]
[--scriptanalysis] [--rootkit] [--noindicator] [--reginfs]
[--dontwait] [--intense] [--csv] [--onlyrelevant] [--nolog]
[--update] [--debug]
Loki - 简单的IOC扫描仪
可选参数:
-h,--help显示此帮助信息并退出
-p路径扫描路径
-s千字节要检入的最大文件大小KB(默认5000 KB)
-l日志文件日志文件
-r remote-loghost远程系统日志系统
- 警报级警报评分
-w警告级别警告分数
-n通知级别通知分数
--printAll打印所有扫描的文件
--allreasons打印导致得分的所有原因
--noprocscan跳过进程扫描
--nofilescan跳过文件扫描
--scriptanalysis激活脚本分析(测试版)
--rootkit跳过rootkit检查
--noindicator不显示进度指示器
--reginfs检查Regin虚拟文件系统
--dontwait不要等待退出
- 强烈激烈的扫描模式(也扫描未知的文件类型和所有
扩展)
--csv将CSV日志格式写入标准输出(机器程序)
- 仅适用于仅打印警告或警报
--nolog不要编写本地日志文件
--update更新“signature-base”子签名
知识库
- 调试调试输出
更新:
LOKI包含一个名为loki- upgrader.exe或loki-upgrader.py的独立更新工具。
用法:loki-upgrader.py [-h] [-l日志文件] [--sigsonly] [--progonly] [--nolog]
[--debug]
Loki - 升级
可选参数:
-h,--help显示此帮助信息并退出
-l日志文件日志文件
--sigsonly只更新签名
- 只能更新程序文件
--nolog不要编写本地日志文件
- 调试调试输出
它允许您更新Windows编译的loki.exe和基于签名的源代码。
当运行loki.exe --update时,它会创建一个新的升级程序并退出LOKI,以便用新的升级程序替换loki.exe,否则将被锁定。
下载地址:
https://github.com/Neo23x0/Loki/releases
文章出处:
http://www.effecthacking.com
推荐文章++++