LOKI：一款APT威胁指标扫描软件

LOKI是一款APT入侵痕迹扫描软件，以入侵威胁指标(IOC)和黑客工具特征为对象，发现入侵事件和痕迹，其内置的指标特征来自公开发布的事件 告、取证分析和恶意样本等。LOKI由德国信息安全公司Bsk-Consulting开发。

LOKI GitHub： https://github.com/Neo23x0/LokiLOKI支持以下四种检测模式：

*匹配文件路径和文件名的IOC检测

*匹配文件数据和进程内存的YARA恶意软件规则检测

*匹配已知恶意软件的MD5 /SHA1/SHA256哈希值检测

*匹配C&C终端连接的 络检测

其它方式检测：

*进程异常检测（基于sysforensics)

*SWF压缩文件检测

*SAM转储检测

*Regin木马文件检测（使用命令 -reginfs)

运行：

（1）克隆LOKI的github库（如果只是下载ZIP文件，请记得下载IOC特征签名子库 signature-base）

（2）提供扫描对象（移动介质、 络共享、文件夹等）

（3）以管理员方式按照命令运行loki.exe

LOKI内置的威胁特征库（IOC):

*“方程式组织”Equation Group APT恶意样本-（包括哈希值、卡巴斯基分析的YARA规则和10个通用规则）

*Carbanak APT-卡巴斯基分析的恶意样本哈希值和文件名IOC

*Arid Viper APT-趋势科技分析的恶意样本哈希值

*Regin恶意软件（GCHQ/NSA/FiveEyes相关)-其中的Legspin和Hopscotch模块IOC

*QUERTY 恶意软件（FiveEyes相关）-键盘记录模块IOC

*Skeleton Key APT（国家支持攻击相关）-恶意软件IOC

*WoolenGoldfish APT-SHA1哈希值和YARA规则

*OpCleaver APT（伊朗相关APT活动）-IOC

*其它180多个黑客工具YARA规则

*其它600多个 页后门YARA规则

*大量匹配的可疑文件签名

*……

LOKI收费版：

LOKI的收费版本软件THOR，规则库更强大，扫描功能更深入，请参考THOR