Prevenirea și detectarea intruziunilor sunt elemente critice în procesul de asigurare a securității rețelelor de calculatoare și de calculatoare.
În caz de hacking a unui computer sau a unui dispozitiv de rețea, trebuie să luați imediat măsuri pentru:
• prevenirea răspândirii în continuare a amenințării (izolarea dispozitivului compromis, curățarea, recuperarea completă a sistemului din rezerva de încredere etc.);
• identificarea unor metode de penetrare / infectie si eliminarea lor (studiu eksidenta, instalarea actualizărilor de securitate, evitând utilizarea de software vulnerabile și echipamente de rețea, utilizarea sistemelor pentru prevenirea și detectarea intruziunilor, instalați software-ul antivirus, schimba politica de securitate a informațiilor organizației, etc.);
• evaluarea și gestionarea consecințelor hacking (cu siguranta a venit ca urmare a ruperii informațiilor în mâinile infractorilor, schimbarea datelor contabile, de recuperare a CDN, oamenii sunt avertizați să schimbe parole etc.).
Semnele conform cărora computerul a fost compromis (Indicatori de compromis), adică hacked, poate fi:
• activitatea anormală pe dispozitivele de disc și de a îmbunătăți consumul de resurse de sistem (din cauza căutarea discurilor, criptarea fișierelor, utilizați resursele computerului pentru atacator pentru a efectua calcule sau stocarea și difuzarea datelor, etc.)
• și alte semne, ambele vizibile "cu ochii" și care necesită utilizarea unui software specializat pentru detectare.
Instrucțiuni de utilizare Loki
Acest articol vă va spune despre Loki - un scanner simplu pentru a detecta semne de hacking. În open source Loki, programul este liber, este un cross-platform, include posibilitatea unui număr de instrumente gratuite și baze de date deschise a datelor fișiere malware. În prezent, programul se dezvoltă în mod activ și este actualizat în mod constant cu noi semnături.
Puteți testa computerul sau serverul atât pe Linux cât și pe Windows.
Loki este un scanner pentru detectarea semnelor de hacking.
Detectarea hacking-ului se bazează pe patru metode de detectare:
• Numele fișierelor (care corespund expresiei regulate a căii complete a fișierului);
• verificarea regulilor Yara (căutarea semnăturilor Yara în funcție de conținutul fișierelor și de memoria proceselor);
• Verificarea hash-urilor (compararea fișierelor scanate cu hashes (MD5, SHA1, SHA256) de fișiere malware cunoscute);
• Verificați feedback-ul C2 (compară punctele finale ale conexiunii de proces cu C2 IOC).
• Verificarea sistemului de fișiere Regin (via -reginfs)
• Verificați anomalia procesului
• Scanarea SWF-urilor neambalate
• Testul SAM Dump
• DoublePulsar - încearcă să detecteze backdoor-ul DoublePulsar pe porturile 445 / tcp și 3389 / tcp
Instalarea lui Loki pe Windows
Descărcați cea mai recentă versiune a programului din pagina de lansare oficială. Dezarhivați arhiva. Programul nu necesită instalare, este suficient să despachetați arhiva descărcată. Pentru a începe, deschideți un prompt de comandă: apăsați Win + x și selectați "Command Prompt (Administrator)". Începeți prin actualizarea programului și a semnăturilor, pentru aceasta trageți fișierul loki-upgrader.exe în fereastra de comandă deschisă. apăsați ENTER și așteptați până la terminarea procesului.
După aceea, trageți fișierul loki.exe în linia de comandă și apăsați ENTER - întregul computer va începe scanarea.
Dacă nu aveți încredere în fișierele executabile, pagina programului descrie cum să vă compilați singur codul sursă.
Instalare în Kali Linux
Trebuie instalat YARA, care, în mod implicit, este deja disponibil în Kali Linux.
YARA este un instrument care vizează (dar nu se limitează la) software rău intenționat pentru cercetători pentru a identifica și clasifica programe rău intenționate. Cu YARA, puteți crea descrieri ale familiilor de programe malware (sau orice doriți să le descrieți) bazate pe text sau pe modele binare. Fiecare descriere (numită și "regulă") constă dintr-un set de șiruri de caractere și expresii booleene care definesc logica sa.
Instalarea în Linux Mint, Ubuntu
Instalarea în BlackArch
P.S. Loki este un program simplu pentru identificarea unui semn de compromis. Vă ajută să vedeți semne evidente de penetrare și infecție a computerului. Este, de asemenea, un instrument bun pentru studierea și înțelegerea sistemului său de operare, a proceselor care apar în el.
Bazat pe HackWare.ru
Articole similare
Trimiteți-le prietenilor: