Phát hiện Server bị tấn công APT với Thor Lite

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
316
446 bài viết
Phát hiện Server bị tấn công APT với Thor Lite
Hi, mình xin giới thiệu đến các bạn công cụ Thor Lite dùng để phát hiện nhanh các endpoint bị nhiễm malware hay bị compromise bởi các cuộc tấn công APT từ các C2C bên ngoài hay không. Hiện đã và đang hỗ trợ trên Windows/Linux/MacOS, các bạn có thể dùng bản free hoặc trả phí.

1704785858842.png


1704785869426.png

Hiện chỉ hơn nhau ở số rule để detect, IOC, signature,.... Nhưng các bạn đừng lo, mình sẽ chia sẻ cho các bạn nơi có thể cập nhật các rule này hoàn toàn miễn phí và uy tín.

1704787304851.png

Sau đây mình sẽ hướng dẫn các bạn cách tải và chạy công cụ này. Vào trang để tải về ,

1704787326805.png

Sau khi đăng kí các thông tin bạn sẽ được gửi kèm đường link download chính chủ và cả license nữa nhé, các bạn nhớ copy file .lic vào folder thực thi của Thor

1704787341270.png

Tiếp theo mình các bạn vào trang này để tải các IOC, hash, yararule https://github.com/Neo23x0/signature-base/tree/master/iocs

1704787353081.png

Download để vào thư mục custom-signatures\iocs\ templates

1704787362618.png


1704787381252.png

Sẽ chứa các thông tin path, tên các file mà các cuộc tấn công APT tạo ra

1704787395786.png

File hash iocs sẽ chứa các mã hash file malware của các cuộc tấn công APT

1704787408649.png

Ngoài ra cũng có các domain và IP C2C được sử dụng trong các cuộc tấn công APT
Tương tự các bạn cũng có thể làm với Yara rule
https://github.com/Neo23x0/signature-base/tree/master/yara

upload_2021-9-15_23-30-11.png

Các rule được cập nhật hằng ngày khi có CVE mới nhất.

Các bạn tải về đưa vào thư mục mình đã chỉ và sau đó thực thi file Thor.exe (dùng cho 32 bit) và phiên bản Thor 64.exe.

1704787422307.png

Sau khi chạy sẽ có 1 file report .html cho các bạn

1704787461250.png

1704787440399.png


Chi tiết các alert sẽ được show ra cho các bạn đối chiếu match các rule nào lúc nãy vừa tạo

Ngoài ra khi scan cũng sẽ tạo ra các file log, các file log này cũng chứa các report, nên chúng có thể đẩy về hệ thống SIEM để cảnh báo kịp thời đến các bên liên quan xử lý.

Happy Hacking :D
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: khongbietgi
Bài chia sẻ rất hữu ích cảm ơn ad
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Sugi_b3o
Comment
Thẻ
apt apt malware ioc server thor lite
Bên trên