Yara isimli yazılım, kendine özel imza desteğiyle bu zararlı özelliklerini aratmaya yarar. Örneğin aşağıda Silent Banker zararlısına ait imza yer almaktadır.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
rule silent_banker : banker { meta: description = "This is just an example" thread_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c } |
Bununla beraber Yara aracını kullanmak, imzalarını güncelleyebilmek operasyonel olarak görece olarak zahmetlidir. Bu noktada Loki isimli yazılım devreye giriyor. Aşağıdaki adreste yer alan Loki isimli yazılım, bu işlemleri kolaylaştıran faydalı bir yazılımdır.
https://github.com/Neo23x0/Loki
Yönetici haklarıyla çalıştırıldığında asıl verimin alınabileceği Loki, Yara’ya ait kurulum/imza güncelleme vb. işlerini son derece kolaylaştırmaktadır. Yazılım ilk çalıştığında imzalarını güncelleyecek (başta çok bilindik APT imzaları olmak üzere) ve taramayı başlatacaktır. Tek yapılması gereken loki.exe‘yi yönetici haklarıyla çalıştırmaktır. Aşağıda örnek bir ekran çıktısı mevcuttur.
Aşağıda Loki ile beraber hazır gelen IOC‘lere yer verilmiştir
- Equation Group Malware
- Carbanak APT
- Arid Viper APT
- Anthem APT
- Regin Malware
- Five Eyes QUERTY Malware
- Skeleton Key Malware
- WoolenGoldfish
- OpCleaver
Not: Loki’nin kurumlara özel enterprise versiyonu olan Thor’a ait bilgiler aşağıdaki adresten elde edilebilir.
http://www.bsk-consulting.de/apt-scanner-thor/
Kaynak (Alıntıdır):
http://acikdefans.com/sistemlerinizde-loki-ve-yara-yardimiyla-apt-aratmak/