欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Loki:一款简单强大的IOC和事件响应扫描器

来源:本站整理 作者:佚名 时间:2018-04-09 TAG: 我要投稿

Loki是一款简单的IOC和事件响应扫描器。
其检测主要基于以下四种检测方法:
文件名IOC 正则表达式匹配完整的文件路径/名称
Yara规则检查 Yara签名匹配文件数据和进程内存
哈希检查 将已知的恶意哈希(MD5,SHA1,SHA256)与扫描的文件进行比较
C2连接后检查 将进程连接端点与C2 IOC进行比较(版本v.10后新增)
其他检查:
Regin文件系统检查(通过–reginfs)
处理异常检查(基于Sysforensics)
SWF解压缩扫描(从版本v0.8开始新增)
SAM转储检查
DoublePulsar检查 – 尝试检测端口445/tcp和3389/tcp上的DoublePulsar后门程序
PE-Sieve进程检查
Windows二进制文件使用PyInstaller 2.1进行编译,并且应该在基于x86和x64的系统上作为x86应用程序运行。
下载
LOKI的最新发布版本可以在这里下载到。
如何运行LOKI并分析报告
运行
下载最新的LOKI版本
运行一次以检索最新的签名库存储库
将文件夹提供给应扫描的目标系统:可移动媒体,网络共享,目标系统上的文件夹
右键单击loki.exe,然后选择“以管理员身份运行”或以管理员身份打开命令行“cmd.exe”,然后从中运行它(您也可以在没有管理权限的情况运行LOKI,但某些检查将被禁用且相关对象磁盘将无法访问)
报告
报告内容将会以不同的颜色区分(绿色,黄色或红色)其重要程度。
请自行对报告内容研究分析:
将非保密样本上传到 Virustotal.com
在网上搜索文件名
在网络上搜索规则名称中的关键字(例如,EQUATIONGroupMalware_1>搜索“方程组”)
在网上搜索样本的MD5哈希
在我的客户APT搜索引擎中搜索文件名或标识符
欢迎大家通过Issuesx’axai向我们报告相关的误报问题(误报例如散列和/或文件名以及触发的规则名称)
更新
自版本0.21.0以来,LOKI包含了一个名为loki-upgrader.exe或loki-upgrader.py的独立更新工具。
usage: loki-upgrader.py [-h] [-l log-file] [--sigsonly] [--progonly] [--nolog]
                        [--debug]
Loki - Upgrader
optional arguments:
  -h, --help   显示帮助信息并退出
  -l log-file  日志文件
  --sigsonly   仅更新签名
  --progonly   仅更新程序文件
  --nolog      不要编写本地日志文件
  --debug      调试输出
它允许更新Windows上已编译的loki.exe和基于签名的源代码。
当运行loki.exe –update时,它会创建一个新的升级程序并退出LOKI,以便用新的升级程序代替loki.exe,否则将被锁定。
使用
usage: loki.exe [-h] [-p path] [-s kilobyte] [-l log-file] [-r remote-loghost]
                [-a alert-level] [-w warning-level] [-n notice-level]
                [--printAll] [--allreasons] [--noprocscan] [--nofilescan]
                [--scriptanalysis] [--rootkit] [--noindicator] [--reginfs]
                [--dontwait] [--intense] [--csv] [--onlyrelevant] [--nolog]
                [--update] [--debug]
Loki - Simple IOC Scanner
optional arguments:
  -h, --help         显示帮助信息并退出
  -p path            扫描路径
  -s kilobyte        最大文件大小KB(默认5000 KB)
  -l log-file        日志文件
  -r remote-loghost  远程系统日志
  -a alert-level     警报评分
  -w warning-level   警告评分
  -n notice-level    注意评分
  --printAll         打印所有扫描的文件
  --allreasons       打印导致得分的所有原因
  --noprocscan       跳过进程扫描
  --nofilescan       跳过文件扫描
  --scriptanalysis   激活脚本分析(beta版)
  --rootkit          跳过rootkit检查
  --noindicator      不显示进度指示器
  --reginfs          检查Regin虚拟文件系统
  --dontwait         不要等待退出
  --intense          变态扫描模式(也扫描未知的文件类型和所有扩展)                 
  --csv              将CSV日志格式写入标准输出(machine prcoessing)
  --onlyrelevant     仅打印警告或警报

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载