Phát hiện Server bị tấn công APT với Thor Lite

Thảo luận trong 'Virus/Malware' bắt đầu bởi Sugi_b3o, 15/09/21, 11:09 PM.

  1. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 399
    Đã được thích: 299
    Điểm thành tích:
    63
    Hi, mình xin giới thiệu đến các bạn công cụ Thor Lite dùng để phát hiện nhanh các endpoint bị nhiễm malware hay bị compromise bởi các cuộc tấn công APT từ các C2C bên ngoài hay không. Hiện đã và đang hỗ trợ trên Windows/Linux/MacOS, các bạn có thể dùng bản free hoặc trả phí.
    [​IMG]
    Hiện chỉ hơn nhau ở số rule để detect, IOC, signature,.... Nhưng các bạn đừng lo, mình sẽ chia sẻ cho các bạn nơi có thể cập nhật các rule này hoàn toàn miễn phí và uy tín.

    [​IMG]

    Sau đây mình sẽ hướng dẫn các bạn cách tải và chạy công cụ này. Vào trang để tải về ,

    [​IMG]

    Sau khi đăng kí các thông tin bạn sẽ được gửi kèm đường link download chính chủ và cả license nữa nhé, các bạn nhớ copy file .lic vào folder thực thi của Thor

    [​IMG]

    Tiếp theo mình các bạn vào trang này để tải các IOC, hash, yararule https://github.com/Neo23x0/signature-base/tree/master/iocs

    [​IMG]

    Download để vào thư mục custom-signatures\iocs\ templates

    [​IMG]

    [​IMG]

    Sẽ chứa các thông tin path, tên các file mà các cuộc tấn công APT tạo ra

    [​IMG]

    File hash iocs sẽ chứa các mã hash file malware của các cuộc tấn công APT

    [​IMG]

    Ngoài ra cũng có các domain và IP C2C được sử dụng trong các cuộc tấn công APT
    Tương tự các bạn cũng có thể làm với Yara rule
    https://github.com/Neo23x0/signature-base/tree/master/yara
    upload_2021-9-15_23-30-11.png
    Các rule được cập nhật hằng ngày khi có CVE mới nhất​
    Các bạn tải về đưa vào thư mục mình đã chỉ và sau đó thực thi file Thor.exe (dùng cho 32 bit) và phiên bản Thor 64.exe

    [​IMG]

    Sau khi chạy sẽ có 1 file report .html cho các bạn

    [​IMG]

    [​IMG]

    Chi tiết các alert sẽ được show ra cho các bạn đối chiếu match các rule nào lúc nãy vừa tạo


    Ngoài ra khi scan cũng sẽ tạo ra các file log, các file log này cũng chứa các report, nên chúng có thể đẩy về hệ thống SIEM để cảnh báo kịp thời đến các bên liên quan xử lý.

    Happy Hacking :D
     

    Các file đính kèm:

    Chỉnh sửa cuối: 18/09/21, 12:09 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    ToanDV thích bài này.
  2. whiteLMK

    whiteLMK Well-Known Member

    Tham gia: 19/02/21, 09:02 AM
    Bài viết: 56
    Đã được thích: 14
    Điểm thành tích:
    8
    Bài chia sẻ rất hữu ích cảm ơn ad
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Sugi_b3o thích bài này.
  3. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 399
    Đã được thích: 299
    Điểm thành tích:
    63
    Cám ơn bạn, nhớ share để lan tỏa sự hữu ích đến nhiều người khác nhé
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whiteLMK thích bài này.
  4. whiteLMK

    whiteLMK Well-Known Member

    Tham gia: 19/02/21, 09:02 AM
    Bài viết: 56
    Đã được thích: 14
    Điểm thành tích:
    8
    Đã chia sẻ mong ad ra nhiều bài viết hay ạh
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Sugi_b3o thích bài này.
  1. Sugi_b3o
  2. Thriuenug
  3. WhiteHat News #ID:2017
  4. Sugi_b3o
  5. Sugi_b3o