Loki
Предотвращение и обнаружение вторжений – важнейшие элементы процесса обеспечения безопасности компьютера и компьютерных сетей.
Несколько признаков свидетельствующих, что ваш компьютер был взломан (Indicators of Compromise) :
- появление на компьютере вредоносных файлов (вирусов, бэкдоров, троянов, килогеров, крипторов, майнеров и т.д.), а также хакерский утилит (для исследования сети, эксплуатации уязвимостей, сбора учётных данных и т.д.);
- появление неавторизованных новых исполнимых и других файлов, даже если они не определяются антивирусным ПО как вредоносные;
- неавторизованная сетевая активность (подключение к удалённым хостам, открытие для прослушивания портов неизвестными программами, либо программами, которые не должны этого делать и пр.);
- аномальная активность на дисковых устройствах и повышенное потребление ресурсов системы (из-за поиска по дискам, шифрования файлов, использования ресурсов компьютера в целях злоумышленника для выполнения вычислений или хранения и распространения данных и т.д.)
В этой статье пойдет речь о Loki– простом сканере для обнаружения признаков взлома. У Loki открыт исходный код, программа бесплатная, является кроссплатформенной, включает в себя возможности ряда бесплатных инструментов и открытых баз данных по вредоносным файлам. Активно развивается и постоянно пополняется новыми сигнатурами.
Вы можете проверить свой компьютер или сервер как на Linux, так и на Windows.
Здесь рассмотрим запуск и анализ результатов на Windows.
Установка Loki в Windows
Скачайте последний выпуск программы с официальной страницы релизов. Распакуйте архив. Программа не требует установки, достаточно распаковать скаченный архив. Для запуска откройте командную строку: нажмите Win+x и выберите «Командная строка (администратор)». Начните с обновления программы и сигнатур, для этого перетащите в открывшееся окно командной строки файл loki-upgrader.exe, нажмите ENTER и дождитесь завершения процесса.
После этого перетащите в командную строку файл loki.exe и нажмите ENTER — начнётся сканирование всего компьютера.
Если вы не доверяете исполнимым файлам, то на странице программы описано, как самостоятельно скомпилировать её из исходного кода.
Анализ результатов Loki
В первую очередь, нужно обращать внимание на сообщения, выделенные красным:
В поле DESCRIPTION дано описание файла и причины его подозрительности. Обычно это вирусы, бэкдоры и другие подобные программы, которые не могут присутствовать на компьютерах большинства пользователей (если они не занимаются анализом вредоносного ПО).
Далее следует обратить внимание на жёлтые предупреждения:
На первом сркиншоте – найден инструмент для восстановления Wi-Fi паролей.
Найдена программа для дампа учётных данных, паролей:
Если вы их не скачивали, то подобных программ не должно быть в вашей системе. Их мог забыть человек, который пытался извлечь сведения из вашего компьютера.
Уведомления, помеченные синим, могут означать вполне легитимную деятельность. Например, на этом скриншоте подключения работающего веб-браузера:

Далее Tor и приложение для VoIP:

В данном случае они являются легитимными – установлены владельцем. Тем не менее, стоит просмотреть, какие программы прослушивают порты или устанавливают соединения.
Далее пример исполнимого файла, который расположен в директории, где обычно не должно быть исполнимых файлов. Это не обязательно вредоносные файлы, но на них стоит обратить внимание:

Судя по всему, ложное срабатывание (файл идентифицирован по одному только имени файла), тем не менее, стоит хотя бы посмотреть дату создания, цифровые подписи, наличие активности и т.д.:

Программа нашла исполнимый файл Nmap:

Вероятно, ложное срабатывание (слишком общий паттерн поиска для Cloud Hopper):
Файл Microsoft Office содержащий функцию AutoOpen (такое редко встречается в нормальных офисных файлах):
Notice: FILE: C:\Users\Alex\
И в заключении:
Loki достаточно несложнаяпрограмма для выявления признаков компрометации. Она поможет увидеть явные признаки проникновения и заражения компьютера. Также она является хорошим инструментом для изучения и понимания своей операционной системы, происходящих в ней процессов.