Global Preloader
Noticia Internacional
(10/Jan/2018) Herramienta de detección de malware a través de IOC.

Herramienta de detección de malware a través de IOC.

En informática forense a las trazas que se observan en una red o en un sistema operativo que indican una intrusión informática se les llama indicadores de compromiso(IOC). Los IOC típicos son firmas de virus, direcciones IP, hash MD5 de archivos de malware, URL o nombres de dominio de los servidores de comando y control de botnet.

LOKI es un escáner IOC gratuito y simple, para la detección de malware. Esta herramienta ofrece una forma simple de escanear sus sistemas para IOC conocidos.

La detección se basa en cuatro métodos de detección:

-Nombre de archivo IOC: Si el regex coincide en la ruta o nombre completo del archivo.
-Yara Rule Check: Coincidencias de firma Yara en datos de procesos en archivo o en memoria.
-Hash check: Compara hash maliciosos conocidos (MD5, SHA1, SHA256) con archivos escaneados.
-C2 Back Connect Check: Compara puntos finales de conexión de proceso con C2 IOC.

LOKI presenta algunas de las reglas más efectivas, como reglas webshell, que incluso los mejores motores antivirus no detectarían la mayoría de ellas. La base de datos de firmas del IOC no está encriptada ni almacenada en un formato propietario. Se puede editar la base de datos de firmas y agregar sus propios IOC.

El caso de uso más común es el llamado escenario “Triage” en el que se escanean todas sus máquinas para identificar amenazas que no han sido detectadas por las soluciones antivirus comunes. Es posible desplegar LOKI como cualquier otro software u ofrecerlo en un recurso compartido de red.

Otro escenario es el uso en un laboratorio forense, escaneando imágenes montadas con LOKI para identificar las amenazas conocidas utilizando las definiciones IOC provistas.

Al final del escaneo, LOKI genera un resultado de escaneo. Este resultado puede ser:

    El sistema parece estar limpio.
    Objetos sospechosos detectados.
    Indicadores detectados.