:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Tool-Tipp: LOKI Open Source Scanner prüft Netzwerke auf Angriffsspuren
Mit dem kleinen Open Source-Tool Loki lassen sich Server und Computer in kleinen Netzen auf Angriffsspuren und Anzeichen von Bedrohungen untersuchen. Diese Vorgänge werden auch als Indicators of Compromise (IoC) bezeichnet. In diesem Tool-Tipp-Artikel und Video zeigen wir, wie das Tool funktioniert.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Das kleine Open Source-Tool Loki wird als IoC-Scanner bezeichnet. Es steht auf GitHub für Windows, Linux und macOS zur Verfügung. Für das Tool ist keine Installation notwendig, es kann direkt in der Eingabeaufforderung von Windows oder im Terminal von Linux und macOS gestartet werden. Loki ist die Open-Source-Version des deutlich umfangreicheren kommerziellen Produkts THOR von Nextron Systems.
Achtung: Beim Starten der Software melden viele Virenscanner einen Trojaner-Angriff. Das ist leider seit einigen Versionen bekannt, wird aber als False Positive bewertet, also als fehlerhafte Erkennung. Bei den Loki Issues ist dazu mehr zu lesen.
Wie man mit dem Open-Source-Tool Loki Server und Computer in kleinen Netzwerken auf Anzeichen von Bedrohungen untersucht, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.
:quality(80)/images.vogel.de/vogelonline/bdb/1615000/1615098/original.jpg "Loki startet durch das Anklicken der ausführbaren Datei auch über Windows. Es ist aber besser eine Eingabeaufforderung zu verwenden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1615000/1615099/original.jpg "Bereits während dem Scanvorgang zeigt Loki wichtige Informationen und Scanergebnisse an.")
:quality(80)/images.vogel.de/vogelonline/bdb/1615100/1615100/original.jpg "Loki wird von vielen Virenscanner als Trojaner identifiziert. Dabei handelt es sich um ein False Positive, laut dem Entwickler. Google Chrome verweigert sogar den Download.")
:quality(80)/images.vogel.de/vogelonline/bdb/1615100/1615101/original.jpg "Nach dem Entpacken des Archivs kann Loki mit dem Loki-Upgrader aktualisiert werden. Dabei werden auch die Yara-Regeln aktualisiert.")
Loki nutzt Yara-Regeln
Loki kommt mit zahlreichen Regeln, mit denen Prozesse und Dateien in Windows, Linux und macOS gescannt werden können. Wer sich mit Yara auskennt, kann eigene Regeln definieren. Die Standardregeln in Loki erkennen aber bereits viele Angreifer und Hackertools. Vor allem auf Webservern kann der Einsatz daher sinnvoll sein. Loki scannt nach verschiedenen Methoden:
- 1. Erkennen von bekannten Angreifern nach Name und Pfad der Datei
- 2. Yara-Regel-Überprüfung
- 3. Hash-Check mit bekannten Hashwerten von Malware
- 4. Verbindungsendpunkte werden überprüft
- 5. Loki kann auch erweiterte Prüfungen durchführen. Dazu gehört zum Beispiel das Überprüfen von Prozessen auf verdächtigen Aktionen.
Rechner mit Loki scannen
Um Computer mit Loki zu scannen, zum Beispiel Windows, reicht es aus die ZIP-Datei herunterzuladen und zu entpacken. Bereits beim Entpacken und später auch beim Aktualisieren der Signature-Dateien mit „loki-upgrader.exe“ bringen viele Virenscanner, darunter Windows Defender eine Trojaner-Warnung. Der Upgrader aktualisiert auch loki.exe, sodass immer die neuste Version zur Verfügung steht. Alle Aktionen, die Loki-Upgrader durchgeführt hat, werden in der Datei „loki-upgrade.log“ angezeigt. Diese ist im gleichen Verzeichnis gespeichert, wie Loki selbst.
Auf Linux und macOS kann die Aktualisierung mit „loki-upgrader.py“ durchgeführt werden. Dabei handelt es sich aber um ein False Positives, wie auf der Issue-Seite des Projektes zu lesen ist.
Nach der Aktualisierung mit „loki-upgrader.exe“ können die Scanvorgänge mit „loki.exe“ gestartet werden. Hier kann es sinnvoll sein eine Ausnahme für den Virenscanner zu definieren. Bei Loki handelt es sich um ein kleines Tool in der Befehlszeile. Es ist also durchaus sinnvoll zunächst eine Befehlszeile zu öffnen, und hier durch Eingabe von „loki.exe“ die Scanvorgänge zu starten. Findet Loki verdächtige Aktionen, zeigt das Tool in der Befehlszeile den entsprechenden Scanvorgang in Gelb an.
Wie man mit dem Open-Source-Tool Loki Server und Computer in kleinen Netzwerken auf Anzeichen von Bedrohungen untersucht, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.
Scanvorgänge mit Loki verstehen und optimieren
Mit „loki /?“ zeigt das Tool alle Optionen an, die in der Befehlszeile oder dem Terminal genutzt werden können. Mit der Option „-h“ wird eine erweiterte Hilfe der einzelnen Optionen angezeigt.
Soll Loki zum Beispiel, neben den laufenden Prozessen einen bestimmten Pfad überprüfen, wird das Tool mit „loki -p <Pfad>“ gestartet. Der Pfad wird am Ende gescannt, nachdem Loki alle laufenden Prozesse überprüft hat.
Sollen nur die laufenden Prozesse untersucht werden, nicht aber ein bestimmter Pfad mit seinen Dateien, kann Loki auch mit „loki -nofilescan“ gestartet werden. Das ist zum Beispiel sinnvoll wenn der Scanvorgang für Dateien zu lange dauert, oder wenn Sie nur die laufenden Prozesse der Malware überprüfen wollen. Umgekehrt kann wiederum mit „-noprocscan“ der Prozess-Scann übergangen werden. Dadurch erhalten Administratoren die Möglichkeit, Loki so zu starten, wie es der gewünschte Scanvorgang erforderlich macht.
Auf der GitHub-Seite erklärt der Entwickler auch, wie sich aus den Quellcodes von Loki und Yara das Programm kompilieren lässt und wie dabei auch eigene Yara-Regeln erstellt werden können. Hierzu sind weitere Tools notwendig, die auf der Seite aber verlinkt werden.
Scanergebnisse analysieren
Rote Zeilen stellen gefundene Malware oder Hacker-Angriffe dar. Hier sollte genauer überprüft werden, um welchen Angriff des sich dabei handelt. Hier kann es sinnvoll sein, den gefundenen Prozess und dessen ausführbarer Datei mit einem externen Virenscanner zu überprüfen und im Internet nach dem Namen des Prozesses und der Datei zu suchen. Auch ein Scanvorgang bei Virustotal.com kann sinnvoll sein. Loki zeigt dazu im Fenster den Namen der ausführbaren Datei des Prozesses an, den Eigentümer des Prozesses, die PID des Prozesses und wo die ausführbare Datei gespeichert ist.
Nach dem Scanvorgang zeigt Loki eine Zusammenfassung an. Die einzelnen, gefundenen Informationen sind im Fenster zu sehen. Warnungen und Fehler sollten in jedem Fall tiefgehender überprüft werden. Alle Informationen werden auch in einer Protokolldatei gespeichert. Diese enthält auch den Rechnername, der überprüft wurde. Das ermöglich zum Beispiel das Speichern von Protokolldateien im Netzwerk, um zum Beispiel die Ergebnisse auf mehreren Servern zu vergleichen.
Achtung: Natürlich muss hier jeder Anwender oder Administrator selbst entscheiden, wie und ob er das Tool einsetzen will. Sollen alle Möglichkeiten des Tools zur Verfügung stehen, muss es auch noch mit Administrator-Rechten gestartet werden. Nicht alle Benutzer sind darüber glücklich.
Wie man mit dem Open-Source-Tool Loki Server und Computer in kleinen Netzwerken auf Anzeichen von Bedrohungen untersucht, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.
(ID:46127971)
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/dd/a9/dda9ad34fe9be0ea4c66cbf7cbbb5840/0101683214.jpeg "Es müssen nicht immer kommerzielle Tools sein, wenn es um die Netzwerk-Überwachung geht. (Bild: © bofotolux - stock.adobe.com)")