LOKI – skaner do wykrywania rządowych trojanów – przeskanuj swój system operacyjny

9 lutego 2016

Inspirując się lekturą na blogu zawszeczujni.blogspot.com, chcieliśmy równie mocno polecić narzędzie Loki, które pozwoli – przynajmniej w dość dużym stopniu – upewnić się, czy system Windows lub Mac OS nie jest przypadkiem zainfekowany trojanem rządowym lub innym złośliwym oprogramowaniem wykorzystywanym w atakach APT. Co do zasady, ataki APT (ang. Advanced Persistent Threat) są nie do wykrycia przez tradycyjne środki bezpieczeństwa. Jeżeli ktoś twierdzi inaczej – chyba pomylił się przypisując zwykłemu antywirusowi możliwość odpierania ataków APT.

Darmowe narzędzie Loki to skaner bazujący na IOC (ang. Indicator of compromise) – na pewnych wskaźnikach, hash’ach (MD5, SHA1, SHA256) i wbudowanych sygnaturach YARA, które zawierają informacje o plikach i procesach, a także o połączeniach sieciowych procesów z serwerami C2.

Wszystko to razem zamknięte w jednej aplikacji służy do wykrywania zaawansowanego złośliwego oprogramowania, trojanów rządowych i bardzo groźnych trojanów typu RAT, które umożliwiają uzyskanie pełnego dostępu do zainfekowanego systemu. Loki potrafi też wykryć inne szkodniki rodem z amerykańskiej agencji NSA, jej brytyjskiego odpowiednika GCHQ, czy chociażby z hiszpańskiej firmy Hacking Team, która odpowiada za stworzenie narzędzia Remote Control System, za pomocą którego każdy mógł pozwolić sobie na inwigilację obywateli za odpowiednią opłatą.

Inne podobne ciekawostki:

Korzystanie ze skanera Loki jest banalnie proste. Wystarczy pobrać narzędzie ze strony https://github.com/Neo23x0/Loki/archive/master.zip, wypakować i uruchomić jako administrator Loki.exe.

Jeśli antywirus wykryje działanie aplikacji jako szkodliwe, należy dodać ją do wyjątków lub na czas skanowania wyłączyć ochronę w czasie rzeczywistym, alternatywnie pozostawiając firewall włączonym.

Szczegółowa instrukcja działania znajduje się na tej stronie.

Co potrafi Loki?

  • Wykryć szkodliwe oprogramowanie wykorzystywane w atakach APT przez grupę Equation Group
  • Wykryć malware bankowe wykorzystywane przez grupę Carbanak
  • Wykryć malware wykorzystywane do ataków na cele w Izrealu z pomocą niemieckiej infrastruktury (operacja Arip Viper)
  • Wykryć malware Regin wykorzystywane przez GCHQ, NSA, FiveEyes.
  • Wykryć niezależny moduł malware’u Regin – QWERTY (keylogger) opracowany przez FiveEye.
  • Wykryć zaawansowane malware Skeleton Key.
  • Wykryć szkodliwe oprogramowanie wykorzystywane w operacji WoolenGoldfis.
  • Wykryć malware stosowane w operacji OpCleaver.
  • I wiele, wiele więcej.

Dodatkowe informacje o sygnaturach YARA (a więc co potrafi wykryć Loki) znajdują się w folderze sygnatures oraz optional_signatures po wypakowaniu archiwum ZIP.

Wpisy na zielono oznaczają, że wszystko jest OK
Wpisy na pomarańczowo oznaczają, że tym procesom należy się przyjrzeć. Mogą to być także false positivie
Wpisy na czerwono oznaczają, że Loki znalazł niebezpieczną zawartość

Log ze skanowania zapisywany jest w folderze z plikiem Loki.exe pod nazwą Loki.txt

Bezpośredni link do pobrania: https://github.com/Neo23x0/Loki/archive/master.zip

Użytkownicy Mac OS powinni zastosować się do wskazówek pod tym linkiem: https://github.com/Neo23x0/Loki

Czy Wasze komputery są bezpieczne? Dajcie znać w komentarzach.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
13 komentarzy
Inline Feedbacks
View all comments
PB
PB
4 lat temu

[ALERT] Yara Rule MATCH: Powerkatz_DLL_Generic TYPE: EXE
DESCRIPTION: Detects Powerkatz – a Mimikatz version prepared to run in memory via Powershell (overlap with other Mimikatz versions is possible)
FILE: C:WindowsSysWOW64WLanConn.dll
FILE: C:WindowsSystem32WLanConn.dll

O dziwo na virustotal nic nie wykryło…

kuba88888
kuba88888
4 lat temu

Mam duży problem bo mam tego całą masę wszystko na czerwono a niektóre elementy na pomarańczowo!
skan jeszcze się nie zakończył a ja już mam na czerwono między innymi takie elementy jak:
– powerkatz
-babar APT
-minikatz

i parę innych, również mam komunikaty na niebiesko cokolwiek to znaczy. Jest mi w stanie ktoś fachowo pomóc wyleczyć te zagrożenia i co to właściwe jest co załapałem?
Pozdrawiam

kuba88888
kuba88888
4 lat temu
To jest odpowiedź do  Adrian Ścibor

ok, tak też uczynię, poczekam tylko aż skan przeprowadzi się do końca.

PB
PB
4 lat temu

MBAM – nic nie znalazł
Hitman Pro – nic nie znalazł
Trend Micro HouseCall – nic nie znalazł
BitDefender – (zbootowanie kompa z usb) nic nie znalazł

Wygląda na to, że to false positive. Tym bardziej, że Alert jest przy tym samym pliku w dwóch lokalizacjach
FILE: C:WindowsSysWOW64WLanConn.dll
FILE: C:WindowsSystem32WLanConn.dll

PB
PB
4 lat temu

Warto jeszcze wspomnieć o tym:
https://avlab.pl/lista-antywirusow-ktore-wykrywaly-trojany-stworzone-przez-hacking-team

CYTAT: Jeśli według tej tabeli możemy ułożyć listę najlepszych antywirusów (do wykrywania rządowych trojanów), to wyglądałaby ona tak: 1. Sophos, Emsisoft, CMC Antivirus, 2. Avast, ESET, Norton, Comodo.

Dragon
Dragon
4 lat temu

Co zrobić jak wykryje? Bo wykryło sporo czerwieni.
Inne programy do skanowania systemu które od razu usuwają paskudztwa. Szybsze niż ten.
Edit. Coś tam na forum znalazłem i sprawdzam.
Jest jakiś większy wpis w którym jest omawiane kila programów do skanowania taka złota piątka albo coś w tym stylu.

wwd
wwd
4 lat temu

Ja również mam w raporcie problem – powerkatz w plikach WlanMM.dll i WlanConn.dll w dwóch lokalizacjach: C:WindowsSystem32 oraz C:WindowsSysWoW64. Przecież to są pliki systemowe, tzn. że są zainfekowane czy specjalnie spreparowane przez MS?

Edit: na wirustotal plik jest czysty, jako zweryfikowany składnik systemu, md5 się zgadza więc????

Adrian
Adrian
4 lat temu

Mi to wyskoczyło na czerwono co z tym mogę zrobić?
LOKI: File Name IOC matched PATTERN: C:\Users\Adrian\AppData\Local\Temp\AdobeARM.log DESC: The Kittens Strike Back https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/rocket-kitten-co MATCH: C:UsersAdrianAppDataLocalTempAdobeARM.log
20160211T18:01:02Z PRAUZ LOKI: Scanning memory dump file C:UsersAdrianAppDataRoamingMozillaFirefoxCrash Reportspending1d0d8ac8-f6a1-4963-9a2a-c5470a105c9e-browser.dmp

wwd
wwd
4 lat temu

Czy sprawdzał ktoś z Was system? Tylko u mnie wyświetla na czerwono Wlconn.dll i WlanMM.dll? Ja sprawdzałem na drugim dysku również W7 i tam tak samo pokazuje zagrożenie.

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone