Находим следы взлома под Windows и Linux

T0pDro4eR

Pro Member
Сообщения
181
Оценка реакций
190
Предотвращение и обнаружение вторжений – это важнейшие элементы процесса обеспечения безопасности компьютера и компьютерных сетей. В случае взлома компьютера или сетевого устройства необходимо незамедлительно принять меры для:

  • предотвращения дальнейшего распространения угрозы (изоляция скомпрометированного устройства, очистка, полное восстановление системы из доверенной резервной копии и т.д.);
  • выявления способов проникновения/заражения и устранение их (исследование эксидента, установка обновлений безопасности, отказ от использования уязвимого ПО и сетевого оборудования, применение систем предотвращения и обнаружения вторжения, установка антивирусного ПО, изменение политики информационной безопасности организации и т.д.);
  • оценки и устранения последствий взлома (определение попавшей в результате взлома в руки злоумышленников информации, смена учётных данных, восстановление CDN, предупреждение пользователей о необходимости смены паролей и т.д.).

Признаками, свидетельствующими, что компьютер был скомпрометирован (Indicators of Compromise), т.е. взломан, могут быть:

  • появление на компьютере вредоносных файлов (вирусов, бэкдоров, троянов, килогеров, крипторов, майнеров и т.д.), а также хакерский утилит (для исследования сети, эксплуатации уязвимостей, сбора учётных данных и т.д.);
  • появление неавторизованных новых исполнимых и других файлов, даже если они не определяются антивирусным ПО как вредоносные;
  • неавторизованная сетевая активность (подключение к удалённым хостам, открытие для прослушивания портов неизвестными программами, либо программами, которые не должны этого делать и пр.);
  • аномальная активность на дисковых устройствах и повышенное потребление ресурсов системы (из-за поиска по дискам, шифрования файлов, использования ресурсов компьютера в целях злоумышленника для выполнения вычислений или хранения и распространения данных и т.д.)
  • и другие признаки, как видимые «на глаз», так и требующие использования специализированного ПО для выявления.

Loki – это сканер для обнаружения признаков взлома. У Loki открыт исходный код, программа бесплатна, является кроссплатформенной, включает в себя возможности ряда бесплатных инструментов и открытых баз данных по вредоносным файлам. На данный момент программа активно развивается и постоянно пополняется новыми сигнатурами. Вы можете проверить свой компьютер или сервер как на Linux, так и на Windows.


Выявление взлома основано на четырех методах обнаружения:

  1. Имена файлов (соответствие регулярному выражению полного пути файла);
  2. Проверка правилами Yara (поиск на соответствие сигнатурам Yara по содержимому файлов и памяти процессов);
  3. Проверка хешей (сравнение просканированных файлов с хешами (MD5, SHA1, SHA256) известных вредоносных файлов);
  4. Проверка обратной связи C2 (сравнивает конечные точки технологического соединения с C2 IOC).
Дополнительные проверки:

  1. Проверка файловой системы Regin (через --reginfs)
  2. Проверка аномалии процесса
  3. Сканирование распакованных SWF
  4. Проверка дампа SAM
  5. Проверка DoublePulsar — пытается выявить бэкдор DoublePulsar oна порту 445/tcp и 3389/tcp
Установка Loki

Установка в Kali Linux

Должна быть установлена YARA, которая по умолчанию уже имеется в Kali Linux.

Так же нужен git и Python. Все манипуляции выполняются в терминале:

apt-get install git python python2​
Теперь устанавливаем модули для Python:

pip2 install psutil netaddr pylzma colorama​
Клонируем Loki с git:

git clone

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

Переходим в папку с программой:

cd Loki/​
В пакет включён отдельный инструмент для обновления, который называется loki-upgrader.py

python2 loki-upgrader.py​
Справка по Loki

python2 loki.py -h​
Примеры запуска Loki

Просканировать всю систему на наличие признаков взлома, результаты сканирования сохранить в файл:

python2 loki.py -l loki-report.txt​

Установка Loki в Windows

Скачайте последний выпуск программы с

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Распакуйте архив. Программа не требует установки, достаточно распаковать скачанный архив. Для запуска откройте командную строку: нажмите Win+x и выберите «Командная строка (администратор)». Начните с обновления программы и сигнатур, для этого перетащите в открывшееся окно командной строки файл loki-upgrader.exe, нажмите ENTER и дождитесь завершения процесса. После этого перетащите в командную строку файл loki.exe и нажмите ENTER — начнётся сканирование всего компьютера.

Анализ результатов Loki
В первую очередь, нужно обращать внимание на сообщения, выделенные красным:


В поле DESCRIPTION дано описание файла и причины его подозрительности. Обычно это вирусы, бэкдоры и другие подобные программы, которые не могут присутствовать на компьютерах большинства пользователей (если они не занимаются анализом вредоносного ПО).

Далее следует обратить внимание на жёлтые предупреждения:


На первом сркиншоте – найден инструмент для восстановления Wi-Fi паролей.

Найдена программа для дампа учётных данных, паролей:


Если вы их не скачивали, то подобных программ не должно быть в вашей системе. Их мог забыть человек, который пытался извлечь сведения из вашего компьютера.

Уведомления, помеченные синим, могут означать вполне легитимную деятельность. Например, на этом скриншоте подключения работающего веб-браузера:


В данном случае они являются легитимными – установлены владельцем. Тем не менее, стоит просмотреть, какие программы прослушивают порты или устанавливают соединения.

Далее пример исполнимого файла, который расположен в директории, где обычно не должно быть исполнимых файлов. Это не обязательно вредоносные файлы, но на них стоит обратить внимание:


Судя по всему, ложное срабатывание (файл идентифицирован по одному только имени файла).

Программа нашла исполнимый файл Nmap:


Вероятно, ложное срабатывание (слишком общий паттерн поиска для Cloud Hopper):

Loki – это несложная программа для выявления признаком компрометации. Она поможет увидеть явные признаки проникновения и заражения компьютера. Также она является хорошим инструментом для изучения и понимания своей операционной системы, происходящих в ней процессов.