Loki


Предотвращение и обнаружение вторжений – важнейшие элементы процесса обеспечения безопасности компьютера и компьютерных сетей.

Несколько признаков свидетельствующих, что ваш компьютер был взломан (Indicators of Compromise) :

- появление на компьютере вредоносных файлов (вирусов, бэкдоров, троянов, килогеров, крипторов, майнеров и т.д.), а также хакерский утилит (для исследования сети, эксплуатации уязвимостей, сбора учётных данных и т.д.);

- появление неавторизованных новых исполнимых и других файлов, даже если они не определяются антивирусным ПО как вредоносные;

- неавторизованная сетевая активность (подключение к удалённым хостам, открытие для прослушивания портов неизвестными программами, либо программами, которые не должны этого делать и пр.);

- аномальная активность на дисковых устройствах и повышенное потребление ресурсов системы (из-за поиска по дискам, шифрования файлов, использования ресурсов компьютера в целях злоумышленника для выполнения вычислений или хранения и распространения данных и т.д.)

В этой статье пойдет речь о Loki– простом сканере для обнаружения признаков взлома. У Loki открыт исходный код, программа бесплатная, является кроссплатформенной, включает в себя возможности ряда бесплатных инструментов и открытых баз данных по вредоносным файлам. Активно развивается и постоянно пополняется новыми сигнатурами.

Вы можете проверить свой компьютер или сервер как на Linux, так и на Windows.

Здесь рассмотрим запуск и анализ результатов на Windows.

Установка Loki в Windows

Скачайте последний выпуск программы с официальной страницы релизов. Распакуйте архив. Программа не требует установки, достаточно распаковать скаченный архив. Для запуска откройте командную строку: нажмите Win+x и выберите «Командная строка (администратор)». Начните с обновления программы и сигнатур, для этого перетащите в открывшееся окно командной строки файл loki-upgrader.exe, нажмите ENTER и дождитесь завершения процесса.

После этого перетащите в командную строку файл loki.exe и нажмите ENTER — начнётся сканирование всего компьютера.

Если вы не доверяете исполнимым файлам, то на странице программы описано, как самостоятельно скомпилировать её из исходного кода.

Анализ результатов Loki

В первую очередь, нужно обращать внимание на сообщения, выделенные красным:


В поле DESCRIPTION дано описание файла и причины его подозрительности. Обычно это вирусы, бэкдоры и другие подобные программы, которые не могут присутствовать на компьютерах большинства пользователей (если они не занимаются анализом вредоносного ПО).

Далее следует обратить внимание на жёлтые предупреждения:


На первом сркиншоте – найден инструмент для восстановления Wi-Fi паролей.

Найдена программа для дампа учётных данных, паролей:


Если вы их не скачивали, то подобных программ не должно быть в вашей системе. Их мог забыть человек, который пытался извлечь сведения из вашего компьютера.

Уведомления, помеченные синим, могут означать вполне легитимную деятельность. Например, на этом скриншоте подключения работающего веб-браузера:


Далее Tor и приложение для VoIP:


В данном случае они являются легитимными – установлены владельцем. Тем не менее, стоит просмотреть, какие программы прослушивают порты или устанавливают соединения.

Далее пример исполнимого файла, который расположен в директории, где обычно не должно быть исполнимых файлов. Это не обязательно вредоносные файлы, но на них стоит обратить внимание:


Судя по всему, ложное срабатывание (файл идентифицирован по одному только имени файла), тем не менее, стоит хотя бы посмотреть дату создания, цифровые подписи, наличие активности и т.д.:


Программа нашла исполнимый файл Nmap:


Вероятно, ложное срабатывание (слишком общий паттерн поиска для Cloud Hopper):

Файл Microsoft Office содержащий функцию AutoOpen (такое редко встречается в нормальных офисных файлах):

Notice: FILE: C:\Users\Alex\

И в заключении:

Loki достаточно несложная программа для выявления признаков компрометации. Она поможет увидеть явные признаки проникновения и заражения компьютера. Также она является хорошим инструментом для изучения и понимания своей операционной системы, происходящих в ней процессов.

February 18, 2019
by @blackmoonto
0
4

Loki

Предотвращение и обнаружение вторжений – важнейшие элементы процесса обеспечения безопасности компьютера и компьютерных сетей.

Несколько признаков свидетельствующих, что ваш компьютер был взломан (Indicators of Compromise) :

- появление на компьютере вредоносных файлов (вирусов, бэкдоров, троянов, килогеров, крипторов, майнеров и т.д.), а также хакерский утилит (для исследования сети, эксплуатации уязвимостей, сбора учётных данных и т.д.);

- появление неавторизованных новых исполнимых и других файлов, даже если они не определяются антивирусным ПО как вредоносные;

- неавторизованная сетевая активность (подключение к удалённым хостам, открытие для прослушивания портов неизвестными программами, либо программами, которые не должны этого делать и пр.);

- аномальная активность на дисковых устройствах и повышенное потребление ресурсов системы (из-за поиска по дискам, шифрования файлов, использования ресурсов компьютера в целях злоумышленника для выполнения вычислений или хранения и распространения данных и т.д.)

В этой статье пойдет речь о Loki– простом сканере для обнаружения признаков взлома. У Loki открыт исходный код, программа бесплатная, является кроссплатформенной, включает в себя возможности ряда бесплатных инструментов и открытых баз данных по вредоносным файлам. Активно развивается и постоянно пополняется новыми сигнатурами.

Вы можете проверить свой компьютер или сервер как на Linux, так и на Windows.

Здесь рассмотрим запуск и анализ результатов на Windows.

Установка Loki в Windows

Скачайте последний выпуск программы с официальной страницы релизов. Распакуйте архив. Программа не требует установки, достаточно распаковать скаченный архив. Для запуска откройте командную строку: нажмите Win+x и выберите «Командная строка (администратор)». Начните с обновления программы и сигнатур, для этого перетащите в открывшееся окно командной строки файл loki-upgrader.exe, нажмите ENTER и дождитесь завершения процесса.

После этого перетащите в командную строку файл loki.exe и нажмите ENTER — начнётся сканирование всего компьютера.

Если вы не доверяете исполнимым файлам, то на странице программы описано, как самостоятельно скомпилировать её из исходного кода.

Анализ результатов Loki

В первую очередь, нужно обращать внимание на сообщения, выделенные красным:


В поле DESCRIPTION дано описание файла и причины его подозрительности. Обычно это вирусы, бэкдоры и другие подобные программы, которые не могут присутствовать на компьютерах большинства пользователей (если они не занимаются анализом вредоносного ПО).

Далее следует обратить внимание на жёлтые предупреждения:


На первом сркиншоте – найден инструмент для восстановления Wi-Fi паролей.

Найдена программа для дампа учётных данных, паролей:


Если вы их не скачивали, то подобных программ не должно быть в вашей системе. Их мог забыть человек, который пытался извлечь сведения из вашего компьютера.

Уведомления, помеченные синим, могут означать вполне легитимную деятельность. Например, на этом скриншоте подключения работающего веб-браузера:


Далее Tor и приложение для VoIP:


В данном случае они являются легитимными – установлены владельцем. Тем не менее, стоит просмотреть, какие программы прослушивают порты или устанавливают соединения.

Далее пример исполнимого файла, который расположен в директории, где обычно не должно быть исполнимых файлов. Это не обязательно вредоносные файлы, но на них стоит обратить внимание:


Судя по всему, ложное срабатывание (файл идентифицирован по одному только имени файла), тем не менее, стоит хотя бы посмотреть дату создания, цифровые подписи, наличие активности и т.д.:


Программа нашла исполнимый файл Nmap:


Вероятно, ложное срабатывание (слишком общий паттерн поиска для Cloud Hopper):

Файл Microsoft Office содержащий функцию AutoOpen (такое редко встречается в нормальных офисных файлах):

Notice: FILE: C:\Users\Alex\

И в заключении:

Loki достаточно несложная программа для выявления признаков компрометации. Она поможет увидеть явные признаки проникновения и заражения компьютера. Также она является хорошим инструментом для изучения и понимания своей операционной системы, происходящих в ней процессов.

February 18, 2019
by @blackmoonto
0
4

Яндекс Вези.Милонова на х.й

В Яндекс Такси небольшие нововведения.Мяу

В российском сервисе "Яндекс.Такси" список правил пополнился необычным пунктом – запретом развешивать в салоне личные вещи, такие как иконы и четки. (если так дальше пойдет, то ездить нам без шансона, Ашота, обосраных сидений и вонючих водителей, возмутительно!😂)

Отныне водители обязаны иметь под рукой зарядное устройство для смартфонов, питьевую воду, салфетки и губку для обуви(ну охуеть не встать) говорится на сайте службы.

Но никакие другие личные вещи – иконы, четки, еда, игрушки и сигареты – не должны быть выставлены на всеобщее обозрение в салоне. Также нельзя использовать накладки и чехлы для сидения, накрывать их газетами и одеялами.(интересный момент, заставят клиентов наверно в химгандоне садиться, шоб на химчистку не тратиться)

нововведение пока касаются только автомобилей бизнес- и премиум-класса.

Виталичка Милонов, тут же в бой конечно.обещал написать заявление на "Яндекс.Такси" в прокуратуру. За оскорбление чувств верующих прав свобод и т.д. депутат считает, что хуже если в автомобилях будут портреты Эл Джея😂

На минуточку.

Милонов попросил министра МВД проверить деятельность рэпера:"Сценический образ Элджея куртка бомбер, плотная вязаная шапочка, специфические джинсы. "Короной" же его образа является полное отсутствие зрачков глаз. Совокупная картина, без сомнения, смотрится угрожающе", — пишет депутат ( бля прям "Модный приговор от Милонова"😂)

November 23, 2018
by @blackmoonto
0
7

Очки очко и тапочки

Антон напялил очки Ляховой,но все равно ни@уя не поймет🧐

чулочки тоже не внесли ясность.

может дело в не бритых яйцах😼

Как поймать дзен наших управленцев или что употребить, чтоб понять ту шизофрению, в которой они ощущение соревнуются.

Мы уже начинаем привыкать по тихой грусти к перлам наших чиновников, вот и госпожа Ляхова, сенатор от Брянской области не осталась в стороне. Нам друзья полезна оказывается нищета, голод и нужда, дляя внимание барабанная дробь....

 ЯСНОСТИ УМА.ну и здоровья как мы помним изречения госпожи Макарошки)) Вспомнила войну и голод и т.д. Это наверно как каждому из нас когда то бабушка говорила, если выеживался, "а вооот во время войныыы вообще ниче не былоо". Всегда эта аналогия убивала, сейчас время не войны, есть возможность спать не на бетоне под лавкой и не делить корку хлеба на семью, ан нет, люди которые нами управляют думают иначе. Было бы смешно, если бы не так грустно.

 Ну хотя эта мысль оправдывает немного имбицильность наших господ, у них то прожиточный минимум не 3500🤷откуда ж взяться ясности ума😂

Может им премию платят за самое абсурдное высказывание,как думаете?

Вот подумываю присоединиться к Бондаренко и попробовать диету Макарошки

November 23, 2018
by @blackmoonto
0
4

Очки очко и тапочки

Антон напялил очки Ляховой,но все равно ни@уя не поймет🧐

.

чулочки тоже не внесли ясность.

.

может дело в не бритых яйцах😼

.

Как поймать дзен наших управленцев или что употребить, чтоб понять ту шизофрению, в которой они ощущение соревнуются.

.

Мы уже начинаем привыкать по тихой грусти к перлам наших чиновников, вот и госпожа Ляхова, сенатор от Брянской области не осталась в стороне. Нам друзья полезна оказывается нищета, голод и нужда, дляя внимание барабанная дробь....

.

 ЯСНОСТИ УМА.ну и здоровья как мы помним изречения госпожи Макарошки)) Вспомнила войну и голод и т.д. Это наверно как каждому из нас когда то бабушка говорила, если выеживался, "а вооот во время войныыы вообще ниче не былоо". Всегда эта аналогия убивала, сейчас время не войны, есть возможность спать не на бетоне под лавкой и не делить корку хлеба на семью, ан нет, люди которые нами управляют думают иначе. Было бы смешно, если бы не так грустно.

.

 Ну хотя эта мысль оправдывает немного имбицильность наших господ, у них то прожиточный минимум не 3500🤷откуда ж взяться ясности ума😂

Может им премию платят за самое абсурдное высказывание,как думаете?

.


Вот подумываю присоединиться к Бондаренко и попробовать диету Макарошки

November 22, 2018
by @blackmoonto
0
5
Show more