Loki
WHackerLoki - это сканер для обнаружения признаков взлома.
Выявление взлома основано на четырех методах обнаружения:
Имена файлов (соответствие регулярному выражению полного пути файла);
Проверка правилами Yara (поиск на соответствие сигнатурам Yara по содержимому файлов и памяти процессов);
Проверка хешей (сравнение просканированных файлов с хешами (MD5, SHA1, SHA256) известных вредоносных файлов);
Проверка обратной связи C2 (сравнивает конечные точки технологического соединения с C2 IOC).
Дополнительные проверки:
Проверка файловой системы Regin (через —reginfs)
Проверка аномалии процесса
Сканирование распакованных SWF
Проверка дампа SAM
Проверка DoublePulsar — пытается выявить бэкдор DoublePulsar oна порту 445/tcp и 3389/tcp
Обновление
В пакет включён отдельный инструмент для обновления, который называется loki-upgrader.exe или loki-upgrader.py.
Эта программа позволяет обновлять скомпилированный loki.exe для Windows и источники сигнатур.
При запуске loki.exe —update будет создан новый процесс upgrader и завершение основной программы LOKI, чтобы заменить loki.exe на более новый файл, который в противном случае был бы заблокирован.
Определённые пользователем исключения
LOKI поддерживает заданные пользователем исключения, указанные в файле "excludes.cfg" из папки "./config". Каждая строка представляет регулярное выражение, которое во время обхода директорий применяется к полному пути файла. Таким образом вы можете исключить конкретные директории независимо от имени диска, где они размещены, расширения файлов в конкретных папках и все файлы и директории, которые принадлежат продуктам, чувствительным к антивирусным сканированиям.
Примеры запуска Loki
Просканировать всю систему на наличие признаков взлома, результаты сканирования сохранить в файл (-l loki-report.txt):
sudo python2 loki.py -l loki-report.txt
Установка Loki
Установка в Kali Linux
Должна быть установлена YARA, которая по умолчанию уже имеется в Kali Linux.
sudo pip2 install psutil netaddr pylzma colorama
git clone https://github.com/Neo23x0/Loki
cd Loki/
python2 loki-upgrader.py
python2 loki.py -h
Установка в Linux Mint, Ubuntu
sudo apt-get install yara python-yara python-pip python-setuptools python-dev git
sudo pip2 install —upgrade pip
sudo pip2 install -U setuptools
sudo pip2 install psutil netaddr pylzma colorama
git clone https://github.com/Neo23x0/Loki
cd Loki/
python2 loki-upgrader.py
python2 loki.py -h
Установка в BlackArch
sudo pacman -S yara python2-pip python2-yara
sudo pip2 install psutil netaddr pylzma colorama
git clone https://github.com/Neo23x0/Loki
cd Loki/
python2 loki-upgrader.py
python2 loki.py -h
Установка Loki в Windows
Скачайте последний выпуск программы с официальной страницы релизов. Распакуйте архив. Программа не требует установки, достаточно распаковать скаченный архив. Для запуска откройте командную строку: нажмите Win+x и выберите «Командная строка (администратор)». Начните с обновления программы и сигнатур, для этого перетащите в открывшееся окно командной строки файл loki-upgrader.exe, нажмите ENTER и дождитесь завершения процесса.
После этого перетащите в командную строку файл loki.exe и нажмите ENTER — начнётся сканирование всего компьютера. Источник