LOKI/Spark Core

[spamtrash]

Skaner LOKI/Spark Core (free) sluzy do odnajdowania sladow pozostawianych typowo przez... no nie, nie przez typowe malware, choc tez. Przede wszystkim szuka sladow exploitow pozostawianych przez APT.
Zeby bylo jasne: NIE USUWA ich. NIE zawiera ladnych grafik (poza mniamniusnymi tapetami z tla strony). WALI od czasu do czasu false-positive (bo musi, np. znajduje filtry yoyo z ublocka w dowolnej przegladarce. Reaguje tez [moim zdaniem prawidlowo] nerwowo na obecnosc GoogleCrashHandler.exe i inne takie wynalazki).

Porownanie co moze ktory skaner:

przy czym zarowno Spark (poza Core) oraz Thor - mozna zapomniec do "domowego" czy "mala firma" uzytku.

Teraz... dlaczego podaje oba: otoz teoretycznie Spark jest nowoczesniejszy, napisany w Go i ma 2 moduly wiecej. Ale nie ma paru rzeczy wynikajacych z ograniczen licencji, ktore ma Loki... wiec mozecie skanowac oboma programami, albo zastosowac metode wujka spamtrasha zeby czesciowo korzystac z szybkosci Sparka i miec prawie wszystkie detekcje (ale NIE wszystkie...) z Lokiego:
1. sciagnac z

Zaloguj lub Zarejestruj się aby zobaczyć!

ostatnia wersje Loki (jaka by nie byla. Zeby bylo jasne: jest to narzedzie na tyle nieintuicyjne, ze wszelkiego typu posty ponizej typu: pojawila sie wersja fefnascie i pul prerelease [Catherine] zeta to nabijanie postow o ile nabijacz nie wyjasni np w changelogu co oznacza zmiana wersji PESieve z 1.4.3 do 1.6.0 i dlaczego wersje posrednie zostaly pominiete)
2. Sciagnac po darmowej rejestracji na

Zaloguj lub Zarejestruj się aby zobaczyć!

i sciagnac sobie ostatnia wersje, stosujac sie do zyczenia autora programu:
"Do not upload the software to public platforms like virustotal.com, hybrid-analysis.com or malwr.com as those platforms allow the download for registered users." - innymi slowy: jak jakis pajac zuploaduje na vt, to APT sie naucza co je wykrywa i IOC pojda sie walic.
3. Uruchomic z rozpakowanego folderu Loki loki-upgrader.exe. Poczekac az sciagnie sobie ostatnie regulki.
4. Przekopiowac pliki *.yar / *.yara z loki\signature-base\yara do spark\custom-signatures\yara\ POZA exp_drivecrypt.yar bo to dubel innej zasady i spark Wam wyleci z bledem. z misc do misc kopiujemy file-type-signatures.txt. Podobnie wszystkie pliki z iocs do iocs

Zeby nie bylo ze nie uprzedzalem, Wasze wysilki zostana nagrodzone najprawdopodobniej czyms w rodzaju:

z czym dalej bedziecie musieli sami sobie poradzic...

 

[spamtrash]

Tak tylko odsiweze: wyszly nowe sygnatury Latest commit d1b9c48 Apr 6, 2019 ktore wnosza pare istotnych zmian... polecam.

PS:

Spoiler: to:

Zaloguj lub Zarejestruj się aby zobaczyć!

to oczywiscie FP wynikajace z filtrow adblock do Chrome.

Spoiler: takie:

Zaloguj lub Zarejestruj się aby zobaczyć!

i wszystkie pochodza od jednej definicji yara ale... ale lepiej ja zostawcie i przepatrzcie czy to na pewno pliki OK, bo tym sie posluguje APT10 a oni maja rozmach, s....yny....

 

[spamtrash]

THOR/SPARK APT Scanner Changes

Spark Version 1.18.2
=====================
- Signatures: THOR signatures update
- Bugfix: Fixed custom excludes in intense mode

Z 10.07.2019.

 

[spamtrash]

Ocho, troche nie odswiezalem... link ten sam (p2 pierwszego posta)
a zmiany od wersji ktora podalem:
Spark Version 1.19.0
=====================
- Fix: Notice level messages generated for score >40 instead of >=40
- Feat: Mjolnir upgrade, private rule issues

Spark Version 1.18.5
=====================
- Fix: Rulehub exclusion for McShield service and Windows Defender improved

Spark Version 1.18.3
=====================
- Signatures: THOR signatures, public signature-base and sigma update

 

[spamtrash]

Zmiany zmiany zmiany... Spark odchodzi do lamusa, a w jego miejsce pojawia sie Thor Lite:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[spamtrash]

Dzis taki maly ten, no... zestaw wujka spamtrasha. Oczywisice ze leniwy jestem wiec zawiera tez oryginalne sygnatury Loki/spark/thor, ale mi sie nie chcialo usuwac, wiec po prostu mozna wrzucic najpier to, a potem odpalic update definicji to sie odnowi.

Zaloguj lub Zarejestruj się aby zobaczyć!

Calosc ma wyeliminowane powtorzenia a IMHO stanowi logiczna calosc z oryginalnymi.

 

[spamtrash]

Nowa wersja thor-lite na

Zaloguj lub Zarejestruj się aby zobaczyć!

Zmiany:
THOR Version 10.5.10
=====================
- Feature: Suppress rule matches on log files after the same rule matched 10 times or more, this can be deactivated with '--showall'
- Feature: Add a context menu for filtering to the HTML reports
- Feature: Add support for NFTables firewalls on Linux
- Feature: Add a field 'SIGTYPE' to messages which displays whether an IOC or YARA rule is custom or built-in
- Feature: Reuse previous Scan ID if a scan is resumed
- Feature: Add additional information to files detected in a Windows recycle bin (original file name, deletion time)
- Change: Limit file enrichment to 10 files per message
- Change: Name automatically generated YARA rules for C2 domains after the domain rather than after a counter
- Change: Reduce score of a C2 match with a YARA rule by 30
- Change: Upgrade to YARA 4.0.5
- Change: Make matching of C2 IOCs on process memory optional, it can be enabled with '--c2-in-memory'
- Bugfix: Deduplicate listen ports per process
- Bugfix: Improve permission vulnerability check for Linux services
- Bugfix: Skip specific registry hives where THOR could behave unstable

 

[spamtrash]

Scan for HAFNIUM Exploitation Evidence with THOR Lite

Since we’ve heard from partners and friends about many non-profit organisations affected by the Exchange server vulnerability, we’ve decided to transfer many detection rules from our commercial scanner into the free community version.

Link jak zawsze

 

[spamtrash]

Takie tam jesli ktos sie skusil na uzywanie okresowe Loki lub Thora:

Spoiler: w notatniku czy innym takim wpisujemy:

Zaloguj lub Zarejestruj się aby zobaczyć!

po czym plik zapisujemy jako np. RootkitNetfilter64.yar
i zapisujemy w custom signatures w przypadku thora, a w przypadku Lokiego w signature-base

Co prawda teoretycznie ataki sa targetowane (raczej) ale kto wie

 

[spamtrash]

THOR Version 10.6.9
=====================
- Feature: Print rule authors for YARA rule matches
- Feature: Check environment variables for other processes
- Feature: Use Administrator rights on Windows, if available
- Change: Upgrade PE-Sieve to v0.3.0
- Fix: Handle UTF-16 output in string matches better
- Fix: Improve progress estimation for Eventlog module
- Fix: Skip non-local files on Windows (from e.g. OneDrive) unless '--alldrives' is set

a jako dodatkowe zrodelko oczywiscie

Zaloguj lub Zarejestruj się aby zobaczyć!

z tym ze wyniki MOGA i BEDA zawieraly troche FP wiec z rozsadkiem...

 

[spamtrash]

Cos sie zmienilo w temacie... pomimo niezmiennej wersji thor lite (10.6.9), na stronie update pojawiaja sie nowe release (na chwile obecna ostatni release to 10.6.9, Date: 06. Sep 2021 ).
Hmm... wyglada i na to ze sa to po prostu updatniete definicje... bo plik wykonywalny i powiazane pozostaja nie zmienione (chyba ze mi cos umyka).

Poza tym, bije suchoklatesa uprzejmie, albowiem przez wrodzone lenistwo nie podalem poprawnej procedury uruchomienia skanu za pomoca Thora lite.
Wiec poprawiam swoje zle zachowanie.
Odpalamy cmd w folderze thora i kopiujemy tam nastepujace:
thor-lite-util.exe update

a dopiero POTEM odpalamy wlasciwe skanowanie.

PS: jesli nie bede tu pisal przez 14 dni, uprzejmie prosze o przyjecie wersji domyslnej: przez wrodzone lenistwo zapomnialem oddychac

 

[spamtrash]

no i zapomnialem oddychac
Anyway, dosc fajne srodowisko do przetestowania jak WLASCIWIE uzywac thora jest dostepne za daro (pomijajac koszt sciagania) tutaj:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[spamtrash]

THOR Version 10.7.0
=====================
- Feature: Mark files with names close to common Windows executables as suspicious
- Feature: Change how score is added to avoid cases where scores added up to absurd values
- Feature: Support scanning alternate data streams with '--ads'
- Feature: Check environment variables of processes
- Change: THOR now terminates if a positional argument was specified since none are expected
- Fix: Scan files written to the Dropzone only once the write is complete (or does not continue for at least 1 second)

Jestem w trakcie skanu wiec jeszcze nie powiem czy przestalo walic po rogach total commandera jako malware...

 

[spamtrash]

Zarowno pobrany dzis Thor 10.7.0, jak i najnowszy (lub upgradniety do najnowszego) Loki zawieraja reguly yara dla Log4j:

Zaloguj lub Zarejestruj się aby zobaczyć!

Ponownie: to NIE jest antywirus i nie usunie, ale po prostu powie czy system jest zainfekowany.
Linki sie nie zmieniaja wiec ich po prostu nie podaje.

 

[spamtrash]

Serdecznie polecam do katalogu custom-signatures -> yara wrzucic zawartosc odpowiedniego podfolderu stad:

Zaloguj lub Zarejestruj się aby zobaczyć!