https://github.com/Neo23x0/Loki/releases – это несложная программа для выявления признаков компрометации. Она поможет увидеть явные признаки проникновения и заражения компьютера. Также она является хорошим инструментом для изучения и понимания своей операционной системы, происходящих в ней процессов. Скачать Loki тут https://github.com/Neo23x0/Loki/releases Инструкция по использованию Loki В этой заметке будет рассказано о https://github.com/Neo23x0/Loki/releases – простом сканере для обнаружения признаков взлома. У Loki открыт исходный код, программа бесплатна, является кроссплатформенной, включает в себя возможности ряда бесплатных инструментов и открытых баз данных по вредоносным файлам. На данный момент программа активно развивается и постоянно пополняется новыми сигнатурами. Вы можете проверить свой компьютер или сервер как на Linux, так и на Windows. Я рассмотрю запуск и анализ результатов на Windows. Установка Loki в Windows Скачайте последний выпуск программы с https://hackware.ru/?goto=1219. Распакуйте архив. Программа не требует установки, достаточно распаковать скаченный архив. Для запуска откройте командную строку: нажмите Win+x и выберите «Командная строка (администратор)». Начните с обновления программы и сигнатур, для этого перетащите в открывшееся окно командной строки файл loki-upgrader.exe, нажмите ENTER и дождитесь завершения процесса. После этого перетащите в командную строку файл loki.exe и нажмите ENTER — начнётся сканирование всего компьютера. Если вы не доверяете исполнимым файлам, то на https://github.com/Neo23x0/Loki программы описано, как самостоятельно скомпилировать её из исходного кода. Анализ результатов Loki В первую очередь, нужно обращать внимание на сообщения, выделенные красным: https://hackware.ru/wp-content/uploads/2017/06/614.png В поле DESCRIPTION дано описание файла и причины его подозрительности. Обычно это вирусы, бэкдоры и другие подобные программы, которые не могут присутствовать на компьютерах большинства пользователей (если они не занимаются анализом вредоносного ПО). Далее следует обратить внимание на жёлтые предупреждения: https://hackware.ru/wp-content/uploads/2017/06/63.jpg На первом сркиншоте – найден инструмент для восстановления https://hackware.ru/?p=2964. Найдена программа для https://hackware.ru/?p=1553: https://hackware.ru/wp-content/uploads/2017/06/611.jpg Если вы их не скачивали, то подобных программ не должно быть в вашей системе. Их мог забыть человек, который пытался извлечь сведения из вашего компьютера. Здесь: https://hackware.ru/wp-content/uploads/2017/06/610.jpg подозрительный владелец процесса (возможно, проблема в кириллице). Уведомления, помеченные синим, могут означать вполне легитимную деятельность. Например, на этом скриншоте подключения работающего веб-браузера: https://hackware.ru/wp-content/uploads/2017/06/68.jpg Далее Tor и приложение для VoIP: https://hackware.ru/wp-content/uploads/2017/06/69.jpg https://hackware.ru/wp-content/uploads/2017/06/67.jpg В данном случае они являются легитимными – установлены владельцем. Тем не менее, стоит просмотреть, какие программы прослушивают порты или устанавливают соединения. Далее пример исполнимого файла, который расположен в директории, где обычно не должно быть исполнимых файлов. Это не обязательно вредоносные файлы, но на них стоит обратить внимание: https://hackware.ru/wp-content/uploads/2017/06/612.jpg Судя по всему, ложное срабатывание (файл идентифицирован по одному только имени файла), тем не менее, стоит хотя бы посмотреть дату создания, цифровые подписи, наличие активности и т.д.: https://hackware.ru/wp-content/uploads/2017/06/64.jpg Программа нашла исполнимый файл https://kali.tools/?p=1317: https://hackware.ru/wp-content/uploads/2017/06/65.jpg Вероятно, ложное срабатывание (слишком общий паттерн поиска для Cloud Hopper): https://hackware.ru/wp-content/uploads/2017/06/66.jpg Файл Microsoft Office содержащий функцию AutoOpen (такое редко встречается в нормальных офисных файлах): Notice: FILE: C:\Users\Alex\Downloads\INFO_0323310510_alexey\9806.doc SCORE: 40 TYPE: OLE SIZE: 90112 FIRST_BYTES: d0cf11e0a1b11ae1000000000000000000000000 / MD5: 31746eb6e63d4d3dc913121b0a4f3146 SHA1: 49cb5f309931a282c466a8f4e0bc60773731fb76 SHA256: e5a489137478adc100409ca51e69f957991c3e0aad477a4de3bfea1fc41b10ee CREATED: Tue Jan 17 08:20:49 2017 MODIFIED: Tue Jan 17 06:05:01 2017 ACCESSED: Tue Jan 17 08:20:49 2017 REASON_1: Yara Rule MATCH: Office_AutoOpen_Macro SUBSCORE: 40 DESCRIPTION: Detects an Microsoft Office file that contains the AutoOpen Macro function MATCHES: Str1: AutoOpen Str2: Macros
Огромное спасибо, давно искал подобный софт. Поставил бы симпу, если мог( А такой вопрос что оно имеет ввиду. svhost.exe подозрительный владелец процесса? И как адекватно можно проверить что с данным файлом?
файл svhost.exe может быть запущен только от имени «Local Service, Система, Network Service» (можно посмотреть в диспетчере задач).
