Loki — проверяем систему на вредоносы всех типов

github.com/Neo23x0/Loki

Часто корпоративный мир перенимает нечто крутое у сообщества FOSS и делает его лучше. Это не тот случай, но, вероятно, именно благодаря интересу со стороны бизнеса автор Loki продолжает работу над ним параллельно разработке его платной версии.

Loki — инструмент профессиональных безопасников и даже используется некоторыми бизнесами для обнаружения и реагирования на индикаторы компрометации (ИК) или, говоря проще, места, через которые их взломали.

ИК Loki мониторит множеством проверок:

  • регулярные выражения с названиями известных вредоносов и путями их типичного оседания в ОС
  • принятые в сообществе ИБ за стандарт правила Yara (сигнатуры данных вредоноса и его поведения в оперативной памяти + аномалии в работе любых процессов)
  • сравнение контрольных сумм (MD5, SHA1/256) файлов с таковыми у известной малвари
  • поиск сетевых соединений с известными адресами управляющих серверов хакеров
  • проверка бэкдора DoublePulsar на порту 445 (того самого от АНБ, повергшего мир в пучину заражений рансомварным червем WannaCry)

📌 Детали

  • открытый исходный код на Python
  • разработка немецкого энтузиаста FOSS при поддержке сообщества, без рекламы и отслеживания
  • запуск через Python на Linux и macOS, готовый файл exe для Windows + отдельный модуль для обновлений (loki-upgrade.exe|py)
  • исключения путей в системе, названий и расширений файлов из проверок внесением их в файл exclude.cfg (поддерживает регулярные выражения)
  • выдает результат проверки в отчете с разбиением

ИМХО:  Крутая и гибкая вещь. Жаль, что на никсах не так просто ставится, как на винду. В любом случае стоит доустановки зависимостей — периодически проверяться на дрянь в системе не помешает всем: от Неуловимых Джо до среднестатистических анонов.

Свежее