Loki：一款简单强大的IOC和事件响应扫描器

Loki是一款简单的IOC和事件响应扫描器。

其检测主要基于以下四种检测方法：

文件名IOC
正则表达式匹配完整的文件路径/名称

Yara规则检查
Yara签名匹配文件数据和进程内存

哈希检查
将已知的恶意哈希（MD5，SHA1，SHA256）与扫描的文件进行比较

C2连接后检查
将进程连接端点与C2 IOC进行比较（版本v.10后新增）

其他检查：

Regin文件系统检查（通过–reginfs）

处理异常检查（基于Sysforensics）

SWF解压缩扫描（从版本v0.8开始新增）

SAM转储检查

DoublePulsar检查 – 尝试检测端口445/tcp和3389/tcp上的DoublePulsar后门程序

PE-Sieve进程检查

Windows二进制文件使用PyInstaller 2.1进行编译，并且应该在基于x86和x64的系统上作为x86应用程序运行。

下载

LOKI的最新发布版本可以在这里下载到。

如何运行LOKI并分析报告 运行

下载最新的LOKI版本

运行一次以检索最新的签名库存储库

将文件夹提供给应扫描的目标系统：可移动媒体，网络共享，目标系统上的文件夹

右键单击loki.exe，然后选择“以管理员身份运行”或以管理员身份打开命令行“cmd.exe”，然后从中运行它（您也可以在没有管理权限的情况运行LOKI，但某些检查将被禁用且相关对象磁盘将无法访问）

报告

报告内容将会以不同的颜色区分（绿色，黄色或红色）其重要程度。

请自行对报告内容研究分析：

将非保密样本上传到 Virustotal.com

在网上搜索文件名

在网络上搜索规则名称中的关键字（例如，EQUATIONGroupMalware_1>搜索“方程组”）

在网上搜索样本的MD5哈希

在我的客户APT搜索引擎中搜索文件名或标识符

欢迎大家通过Issuesx’axai向我们报告相关的误报问题（误报例如散列和/或文件名以及触发的规则名称）

更新

自版本0.21.0以来，LOKI包含了一个名为loki-upgrader.exe或loki-upgrader.py的独立更新工具。

usage: loki-upgrader.py [-h] [-l log-file] [--sigsonly] [--progonly] [--nolog] [--debug] Loki - Upgrader optional arguments: -h, --help 显示帮助信息并退出 -l log-file 日志文件 --sigsonly 仅更新签名 --progonly 仅更新程序文件 --nolog 不要编写本地日志文件 --debug 调试输出

它允许更新Windows上已编译的loki.exe和基于签名的源代码。

当运行loki.exe –update时，它会创建一个新的升级程序并退出LOKI，以便用新的升级程序代替loki.exe，否则将被锁定。

使用 usage: loki.exe [-h] [-p path] [-s kilobyte] [-l log-file] [-r remote-loghost] [-a alert-level] [-w warning-level] [-n notice-level] [--printAll] [--allreasons] [--noprocscan] [--nofilescan] [--scriptanalysis] [--rootkit] [--noindicator] [--reginfs] [--dontwait] [--intense] [--csv] [--onlyrelevant] [--nolog] [--update] [--debug] Loki - Simple IOC Scanner optional arguments: -h, --help 显示帮助信息并退出 -p path 扫描路径 -s kilobyte 最大文件大小KB（默认5000 KB） -l log-file 日志文件 -r remote-loghost 远程系统日志 -a alert-level 警报评分 -w warning-level 警告评分 -n notice-level 注意评分 --printAll 打印所有扫描的文件 --allreasons 打印导致得分的所有原因 --noprocscan 跳过进程扫描 --nofilescan 跳过文件扫描 --scriptanalysis 激活脚本分析（beta版） --rootkit 跳过rootkit检查 --noindicator 不显示进度指示器 --reginfs 检查Regin虚拟文件系统 --dontwait 不要等待退出 --intense 变态扫描模式（也扫描未知的文件类型和所有扩展） --csv 将CSV日志格式写入标准输出（machine prcoessing） --onlyrelevant 仅打印警告或警报 --nolog 不要编写本地日志文件 --update 从"signature-base"子知识库更新签名 --debug 调试输出 构建LOKI

如果你使用的是release部分的预编译的可执行文件，则无需任何要求。

如果你想自己构建LOKI：

Linux 或 OS X

yara：只需使用最新版本的源代码，编译并安装它（或者通过pip install yara-python安装）

一些Python软件包：pip install yara-python psutil netaddr pylzma colorama

Windows

yara：建议使用最新版本的Windows编译软件包（例如yara-python-3.5.0.0.win32-py2.7.exe – 从这里下载：https://github.com/VirusTotal/yara/releases

pywin32：路径转换（PyInstaller issue；仅限Windows）

Microsoft Visual C++ 2010 Redistributable Package（https://www.microsoft.com/en-US/download/details.aspx?id=5555）

Microsoft Visual C++Compiler for Python 2.7（https://www.microsoft.com/en-us/download/details.aspx?id=44266）：pylzma

c:\Python27\python.exe -m pip install --upgrade pip pip.exe install psutil netaddr wmi colorama pylzma pycrypto