LOKI：一款APT威胁指标扫描软件

LOKI是一款APT入侵痕迹扫描软件，以入侵威胁指标(IOC)和黑客工具特征为对象，发现入侵事件和痕迹，其内置的指标特征来自公开发布的事件报告、取证分析和恶意样本等。LOKI由德国信息安全公司Bsk-Consulting开发。

LOKI GitHub：

https://github.com/Neo23x0/Loki

LOKI支持以下四种检测模式：

*匹配文件路径和文件名的IOC检测

*匹配文件数据和进程内存的YARA恶意软件规则检测

*匹配已知恶意软件的MD5 /SHA1/SHA256哈希值检测

*匹配C&C终端连接的网络检测

其它方式检测：

*进程异常检测(基于sysforensics)

*SWF压缩文件检测

*SAM转储检测

*Regin木马文件检测(使用命令 -reginfs)

运行：

(1)克隆LOKI的github库(如果只是下载ZIP文件，请记得下载IOC特征签名子库 signature-base)

(2)提供扫描对象(移动介质、网络共享、文件夹等)

(3)以管理员方式按照命令运行loki.exe

LOKI内置的威胁特征库(IOC):

*“方程式组织”Equation Group APT恶意样本-(包括哈希值、卡巴斯基分析的YARA规则和10个通用规则)

*Carbanak APT-卡巴斯基分析的恶意样本哈希值和文件名IOC

*Arid Viper APT-趋势科技分析的恶意样本哈希值

*Regin恶意软件(GCHQ/NSA/FiveEyes相关)-其中的Legspin和Hopscotch模块IOC

*QUERTY 恶意软件(FiveEyes相关)-键盘记录模块IOC

*Skeleton Key APT(国家支持攻击相关)-恶意软件IOC

*WoolenGoldfish APT-SHA1哈希值和YARA规则

*OpCleaver APT(伊朗相关APT活动)-IOC

*其它180多个黑客工具YARA规则

*其它600多个网页后门YARA规则

*大量匹配的可疑文件签名

*……

LOKI收费版：

LOKI的收费版本软件THOR，规则库更强大，扫描功能更深入，请参考THOR