Tool-Tipp: LOKI

Open Source Scanner prüft Netzwerke auf Angriffsspuren

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit dem Open-Source-Tool Loki lassen sich Server und Computer in kleinen Netzwerken auf Anzeichen von Cyberangriffen und Bedrohungen untersuchen.
Mit dem Open-Source-Tool Loki lassen sich Server und Computer in kleinen Netzwerken auf Anzeichen von Cyberangriffen und Bedrohungen untersuchen. (© Egor - stock.adobe.com)

Mit dem kleinen Open Source-Tool Loki lassen sich Server und Computer in kleinen Netzen auf Angriffsspuren und Anzeichen von Bedrohungen untersuchen. Diese Vorgänge werden auch als Indicators of Compromise (IoC) bezeichnet. In diesem Tool-Tipp-Artikel und Video zeigen wir, wie das Tool funktioniert.

Das kleine Open Source-Tool Loki wird als IoC-Scanner bezeichnet. Es steht auf GitHub für Windows, Linux und macOS zur Verfügung. Für das Tool ist keine Installation notwendig, es kann direkt in der Eingabeaufforderung von Windows oder im Terminal von Linux und macOS gestartet werden. Loki ist die Open-Source-Version des deutlich umfangreicheren kommerziellen Produkts THOR von Nextron Systems.

Achtung: Beim Starten der Software melden viele Virenscanner einen Trojaner-Angriff. Das ist leider seit einigen Versionen bekannt, wird aber als False Positive bewertet, also als fehlerhafte Erkennung. Bei den Loki Issues ist dazu mehr zu lesen.

Wie man mit dem Open-Source-Tool Loki Server und Computer in kleinen Netzwerken auf Anzeichen von Bedrohungen untersucht, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.

Loki nutzt Yara-Regeln

Loki kommt mit zahlreichen Regeln, mit denen Prozesse und Dateien in Windows, Linux und macOS gescannt werden können. Wer sich mit Yara auskennt, kann eigene Regeln definieren. Die Standardregeln in Loki erkennen aber bereits viele Angreifer und Hackertools. Vor allem auf Webservern kann der Einsatz daher sinnvoll sein. Loki scannt nach verschiedenen Methoden:

  • 1. Erkennen von bekannten Angreifern nach Name und Pfad der Datei
  • 2. Yara-Regel-Überprüfung
  • 3. Hash-Check mit bekannten Hashwerten von Malware
  • 4. Verbindungsendpunkte werden überprüft
  • 5. Loki kann auch erweiterte Prüfungen durchführen. Dazu gehört zum Beispiel das Überprüfen von Prozessen auf verdächtigen Aktionen.

Rechner mit Loki scannen

Um Computer mit Loki zu scannen, zum Beispiel Windows, reicht es aus die ZIP-Datei herunterzuladen und zu entpacken. Bereits beim Entpacken und später auch beim Aktualisieren der Signature-Dateien mit „loki-upgrader.exe“ bringen viele Virenscanner, darunter Windows Defender eine Trojaner-Warnung. Der Upgrader aktualisiert auch loki.exe, sodass immer die neuste Version zur Verfügung steht. Alle Aktionen, die Loki-Upgrader durchgeführt hat, werden in der Datei „loki-upgrade.log“ angezeigt. Diese ist im gleichen Verzeichnis gespeichert, wie Loki selbst.

Auf Linux und macOS kann die Aktualisierung mit „loki-upgrader.py“ durchgeführt werden. Dabei handelt es sich aber um ein False Positives, wie auf der Issue-Seite des Projektes zu lesen ist.

Nach der Aktualisierung mit „loki-upgrader.exe“ können die Scanvorgänge mit „loki.exe“ gestartet werden. Hier kann es sinnvoll sein eine Ausnahme für den Virenscanner zu definieren. Bei Loki handelt es sich um ein kleines Tool in der Befehlszeile. Es ist also durchaus sinnvoll zunächst eine Befehlszeile zu öffnen, und hier durch Eingabe von „loki.exe“ die Scanvorgänge zu starten. Findet Loki verdächtige Aktionen, zeigt das Tool in der Befehlszeile den entsprechenden Scanvorgang in Gelb an.

Wie man mit dem Open-Source-Tool Loki Server und Computer in kleinen Netzwerken auf Anzeichen von Bedrohungen untersucht, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.

Scanvorgänge mit Loki verstehen und optimieren

Mit „loki /?“ zeigt das Tool alle Optionen an, die in der Befehlszeile oder dem Terminal genutzt werden können. Mit der Option „-h“ wird eine erweiterte Hilfe der einzelnen Optionen angezeigt.

Soll Loki zum Beispiel, neben den laufenden Prozessen einen bestimmten Pfad überprüfen, wird das Tool mit „loki -p <Pfad>“ gestartet. Der Pfad wird am Ende gescannt, nachdem Loki alle laufenden Prozesse überprüft hat.

Sollen nur die laufenden Prozesse untersucht werden, nicht aber ein bestimmter Pfad mit seinen Dateien, kann Loki auch mit „loki -nofilescan“ gestartet werden. Das ist zum Beispiel sinnvoll wenn der Scanvorgang für Dateien zu lange dauert, oder wenn Sie nur die laufenden Prozesse der Malware überprüfen wollen. Umgekehrt kann wiederum mit „-noprocscan“ der Prozess-Scann übergangen werden. Dadurch erhalten Administratoren die Möglichkeit, Loki so zu starten, wie es der gewünschte Scanvorgang erforderlich macht.

Auf der GitHub-Seite erklärt der Entwickler auch, wie sich aus den Quellcodes von Loki und Yara das Programm kompilieren lässt und wie dabei auch eigene Yara-Regeln erstellt werden können. Hierzu sind weitere Tools notwendig, die auf der Seite aber verlinkt werden.

Scanergebnisse analysieren

Rote Zeilen stellen gefundene Malware oder Hacker-Angriffe dar. Hier sollte genauer überprüft werden, um welchen Angriff des sich dabei handelt. Hier kann es sinnvoll sein, den gefundenen Prozess und dessen ausführbarer Datei mit einem externen Virenscanner zu überprüfen und im Internet nach dem Namen des Prozesses und der Datei zu suchen. Auch ein Scanvorgang bei Virustotal.com kann sinnvoll sein. Loki zeigt dazu im Fenster den Namen der ausführbaren Datei des Prozesses an, den Eigentümer des Prozesses, die PID des Prozesses und wo die ausführbare Datei gespeichert ist.

Nach dem Scanvorgang zeigt Loki eine Zusammenfassung an. Die einzelnen, gefundenen Informationen sind im Fenster zu sehen. Warnungen und Fehler sollten in jedem Fall tiefgehender überprüft werden. Alle Informationen werden auch in einer Protokolldatei gespeichert. Diese enthält auch den Rechnername, der überprüft wurde. Das ermöglich zum Beispiel das Speichern von Protokolldateien im Netzwerk, um zum Beispiel die Ergebnisse auf mehreren Servern zu vergleichen.

Achtung: Natürlich muss hier jeder Anwender oder Administrator selbst entscheiden, wie und ob er das Tool einsetzen will. Sollen alle Möglichkeiten des Tools zur Verfügung stehen, muss es auch noch mit Administrator-Rechten gestartet werden. Nicht alle Benutzer sind darüber glücklich.

Wie man mit dem Open-Source-Tool Loki Server und Computer in kleinen Netzwerken auf Anzeichen von Bedrohungen untersucht, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46127971 / Security-Testing)