Herramienta de detección de malware a través de IOC

Los indicadores de compromiso(IOC), en informática forense son trazas observadas en una red o en un sistema operativo que indican una intrusión informática. Los IOC típicos son firmas de virus, direcciones IP, hash MD5 de archivos de malware, URL o nombres de dominio de los servidores de comando y control de botnet.

 LOKI es un escáner IOC gratuito y simple, para la detección de malware, creado por Florian Roth.

Los indicadores IOC se pueden derivar de informes de incidentes publicados, análisis forenses o colecciones de muestras de malware para laboratorio de malware. Esta herramienta ofrece una forma simple de escanear sus sistemas para IOC conocidos.

La detección se basa en cuatro métodos de detección:

• Nombre de archivo IOC: Si el regex coincide en la ruta o nombre completo del archivo
• Yara Rule Check: Coincidencias de firma Yara en datos de procesos en archivo o en memoria.
• Hash check: Compara hash maliciosos conocidos (MD5, SHA1, SHA256) con archivos escaneados. C2 Back Connect Check: Compara puntos finales de conexión de proceso con C2 IOC. 

LOKI presenta algunas de las reglas más efectivas, como reglas webshell, que incluso los mejores motores antivirus no detectarían la mayoría de ellas. La base de datos de firmas del IOC no está encriptada ni almacenada en un formato propietario. Se puede editar la base de datos de firmas y agregar sus propios IOC. Hay que tener en cuenta que los atacantes también pueden obtener acceso a estas reglas en los sistemas de destino si se usa el escáner y se deja el paquete en un sistema comprometido. Permite agregar fácilmente hashes propios de muestra, características de nombre de archivo y reglas de Yara a los conjuntos de reglas que se incluyen en él.

El caso de uso más común es el llamado escenario "Triage" o "APT Scan" en el que escanea todas sus máquinas para identificar amenazas que no han sido detectadas por las soluciones antivirus comunes. Es posible desplegar LOKI como cualquier otro software u ofrecerlo en un recurso compartido de red. LOKI puede ser iniciado a través de Tarea programada (GPO). Otro escenario es el uso en un laboratorio forense, escaneando imágenes montadas con LOKI para identificar las amenazas conocidas utilizando las definiciones IOC provistas.

Posee IOC derivadas de importantes informes de amenazas a nuestros conjuntos de reglas (por ejemplo, Regin, Skeleton Key). Se puede utilizar LOKI para verificar la integridad de sistemas operativos de forma rápida y orientada a objetivos.

Al final del escaneo, LOKI genera un resultado de escaneo. Este resultado puede ser:

• El sistema parece estar limpio.
• Objetos sospechosos detectados.
• Indicadores detectados.

El escáner compilado puede ser detectado por los motores antivirus. Esto se debe al hecho de que el escáner es una secuencia de comandos python compilada que implementa algunas características del sistema de archivos y de análisis de proceso que también se utilizan en el código de malware compilado.

Fuente: Guru de la Informatica