Scribd Logo
Unggah

Selamat datang di Scribd!

  • Loki

    Diunggah oleh

    Aysa Ir
    8 tayangan3 halaman
    Dokumen tersebut membahas tentang tools threat hunting bernama Loki IOC Scanner yang digunakan untuk mencari indikator kompromi (IOC) pada sistem Windows. Loki bekerja dengan cara memindai berkas, proses, dan ingatan proses untuk mendeteksi IOC berdasarkan nama berkas, aturan Yara, pemeriksaan hash, dan pemeriksaan titik akhir koneksi. Dokumen tersebut juga menjelaskan cara instalasi dan penggunaan Loki beserta penj

    Deskripsi Asli:

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    DOCX, PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini
    Dokumen tersebut membahas tentang tools threat hunting bernama Loki IOC Scanner yang digunakan untuk mencari indikator kompromi (IOC) pada sistem Windows. Loki bekerja dengan cara memindai berkas, proses, dan ingatan proses untuk mendeteksi IOC berdasarkan nama berkas, aturan Yara, pemeriksaan hash, dan pemeriksaan titik akhir koneksi. Dokumen tersebut juga menjelaskan cara instalasi dan penggunaan Loki beserta penj

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    8 tayangan3 halaman

    Loki

    Diunggah oleh

    Aysa Ir
    Dokumen tersebut membahas tentang tools threat hunting bernama Loki IOC Scanner yang digunakan untuk mencari indikator kompromi (IOC) pada sistem Windows. Loki bekerja dengan cara memindai berkas, proses, dan ingatan proses untuk mendeteksi IOC berdasarkan nama berkas, aturan Yara, pemeriksaan hash, dan pemeriksaan titik akhir koneksi. Dokumen tersebut juga menjelaskan cara instalasi dan penggunaan Loki beserta penj

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 3

    Threat hunting:

    1. Hunting for threats existing within your organization


    2. Hunting for threat pro-actively on the internet
    3. Hunting for threats with a trap

    Threat hunting and intrusion detection

    Tools yang digunakan pada threat hunting

    1. Loki IOC Scanner (open source scanner IOC for windows)


    a. Definisi
    Loki merupakan tools open source yang digunakan untuk mencari IOC pada PC windows, IOC
    (indicator of compromise) merupakan objek atau aktivitas yang, diamati pada jaringan atau
    perangkat, menunjukkan kemungkinan besar akses tidak sah ke sistem, dengan kata lain, sistem
    disusupi. Indikator tersebut digunakan untuk mendeteksi aktivitas berbahaya pada tahap awal
    serta untuk mencegah ancaman yang diketahui.
    Contoh IOC:
     Unusual DNS lookups,
     File, aplikasi, dan proses yang mencurigakan,
     Alamat IP dan domain milik botnet atau server C&C malware,
     Sejumlah besar akses ke sebuah file,
     Aktivitas mencurigakan pada akun administrator atau pengguna yang memiliki hak
    istimewa,
     Pembaruan perangkat lunak yang tidak terduga,
     Transfer data melalui port yang jarang digunakan,
     Perilaku di situs web yang tidak biasa bagi manusia,
     Tanda tangan serangan atau hash file dari malware yang diketahui,
     Ukuran respons HTML yang tidak biasa,
     Modifikasi tidak sah dari file konfigurasi, register, atau pengaturan perangkat,
     Sejumlah besar upaya login yang gagal.

    Nantinya IOC yang ditemukan akan dijadikan rules untuk sensor agar apabila terdapat IOC
    tersebut maka system dapat memblock atau memutus koneksi

    LOKI pemindai baris perintah dan mencari semua tanda dan jejak yang biasanya menunjukkan
    sistem yang disusupi. Indikasi ini bisa berupa file yang terkait dengan komponen spyware dan
    virus berbahaya, trojan RAT, malware, dan alat lain yang memungkinkan Anda mengambil
    kendali atas komputer Anda. Selanjutnya, dapat mencari titik akhir koneksi dari berbagai
    proses. Perlu juga disebutkan bahwa LOKI akan menemukan program mata-mata canggih dan
    celah yang digunakan oleh beberapa agen mata-mata negara.
    Deteksi IOC pada Loki didasarkan pada empat metode deteksi:
     File Name IOC
    Regex match on full file path/name
     Yara Rule Check
    Yara signature match on file data and process memory
     Hash Check
    Compares known malicious hashes (MD5, SHA1, SHA256) with scanned files
     C2 Back Connect Check
    Compares process connection endpoints with C2 IOCs (new since version v.10)
    b. Cara instalasi dan penggunaan
    Cara instalasi Loki IOC scanner
     Unduh LOKI versi terbaru
     Ekstrak paket program
     Jalankan loki-upgrader.exe pada sistem dengan akses Internet untuk mengambil sign
    terbaru
     Bawa folder program ke sistem target yang harus dipindai: media yang dapat
    dipindahkan, berbagi jaringan, folder pada sistem target
     Buka baris perintah "cmd.exe" sebagai Administrator dan jalankan dari sana (Anda juga
    dapat menjalankan LOKI tanpa hak administratif tetapi beberapa pemeriksaan akan
    dinonaktifkan dan objek yang relevan pada disk tidak akan dapat diakses)
     Laporan yang dihasilkan akan menunjukkan garis hasil HIJAU, KUNING atau MERAH.
     Silakan analisis sendiri temuannya dengan:
     mengunggah sampel non-rahasia ke Virustotal.com
     Cari web untuk nama file
     Cari web untuk kata kunci dari nama aturan (misalnya EQUATIONGroupMalware_1
    > cari "Grup Persamaan")
     Cari web untuk hash MD5 dari sampel
     Harap laporkan kembali positif palsu melalui bagian "Masalah", yang dapat diakses
    melalui bilah sisi kanan (sebutkan indikator positif palsu seperti hash dan/atau nama file
    dan nama aturan yang dipicu)

    Yara rules:
     Metadata
    Metadata tidak memengaruhi apa yang akan dicari oleh aturan YARA, melainkan
    memberikan informasi yang berguna tentang aturan itu sendiri.
     Author – Name, email address, Twitter handle.
     Date – Date rule was created.
     Version – The version number of the YARA rule for tracking amendments.
     Reference – A link to an article or download of the sample, this is used to
    provide relevant information on the malware sample the rule is designed to
    detect.
     Description – A brief overview of the rule’s purpose and malware it aims to
    detect.
     Hash – A list of sample hashes that were used to create the YARA rule.
     Strings
    Metadata tidak memengaruhi apa yang akan dicari oleh YARA rules, melainkan
    memberikan informasi yang berguna tentang aturan itu sendiri.
     Conditions
    Bagian string mendefinisikan kriteria pencarian yang akan digunakan untuk YARA
    rules, bagian kondisi mendefinisikan kriteria aturan untuk memicu kecocokan yang
    berhasil. Ada beberapa kondisi yang dapat digunakan yang akan saya uraikan.
     Imports
    Impor adalah cara yang bagus untuk menerapkan ketentuan tambahan ke dalam
    YARA rules, dalam artikel ini saya akan membahas beberapa contoh cara
    menggunakan impor PE.

    Anda mungkin juga menyukai