LOKI
Simple IOC and YARA Scanner
Overview
LOKI ist ein portabler Scanner für Indicators of Compromise (IOCs) und YARA-Signaturen, der vor allem für Incident Response und Threat Hunting auf Windows-Systemen eingesetzt wird. Das Tool funktioniert ohne Installation, ist einfach zu bedienen und liefert aussagekräftige Ergebnisse zur Identifikation verdächtiger Dateien, Prozesse und Netzwerkverbindungen.
Detection Methods
LOKI basiert auf vier Hauptmethoden zur Erkennung von Anomalien:
Methode
Beschreibung
File Name IOC
Regex-Matching auf vollständigem Pfad/Dateinamen
YARA Rule Check
Anwendung von YARA-Regeln auf Dateiinhalt und Prozessspeicher
Hash Check
Abgleich mit bekannten bösartigen Hashes (MD5, SHA1, SHA256)
C2 Back Connect Check
Abgleich laufender Verbindungen mit bekannten Command&Control-Server-Adressen
Zusätzliche Checks:
Regin-Filesystem-Prüfung (
--reginfs)Prozess-Anomalie-Erkennung (basiert auf Sysforensics)
SWF-Scan nach Dekompression
SAM-Dump-Erkennung
Installation & Vorbereitung
Lade die aktuelle Version von LOKI aus dem Release-Bereich
Entpacke das ZIP-Archiv
Führe
loki-upgrader.exeauf einem System mit Internetzugang aus, um die neuesten Signaturen zu ladenKopiere den LOKI-Ordner auf das Zielsystem (USB-Stick, Netzwerkpfad, lokal)
Öffne eine Administrative Eingabeaufforderung und starte
loki.exe
Ohne Administratorrechte funktionieren einige Prüfungen (z. B. Registry, Speicherzugriffe) nicht oder nur eingeschränkt.
Grundsätzliche Nutzung
Typische Parameter:
--allhds
Scannt alle lokalen Festplatten
--intense
Scannt auch unbekannte Dateitypen und alle Erweiterungen
--csv
Gibt ein maschinenlesbares CSV-Log auf STDOUT aus
--onlyrelevant
Zeigt nur Warnungen oder Alerts an
--printall
Gibt jede gescannte Datei in der Konsole aus (sehr viel!)
--update
Signaturen aktualisieren
--noprocscan
Prozess-Scan deaktivieren
--nofilescan
Dateisystem-Scan deaktivieren
--vulnchecks
Führt zusätzliche Schwachstellenchecks durch (beta)
--nolog
Kein Logfile schreiben
--excludeprocess
Prozesse vom Scan ausschließen (z. B. AV-Scanner)
Ergebnisse & Bewertung
Nach dem Scan werden Funde mit Ampelfarben markiert:
GRÜN: Keine relevanten Funde
GELB: Verdächtig, aber nicht eindeutig bösartig
ROT: Eindeutig bösartig / sehr verdächtig
Empfohlene Nachbereitung:
Datei-Hash (MD5, SHA256) auf VirusTotal prüfen
Dateinamen oder Regelname googeln
YARA-Regel analysieren
False Positives bitte im GitHub-Issue-Tracker melden mit Hash/Dateiname/Regelname
YARA & IOC Signaturen
Seit Version 0.15 werden die YARA-Regeln in einem separaten Submodul (signature-base) verwaltet.
Struktur:
./signature-base/yara
YARA-Regeln (*.yar)
./signature-base/iocs
Hash-, Dateinamen- und C2-IOCs
hash_iocs.txt
Format: Hash;Beschreibung [Referenz]
filename_iocs.txt
Format: Regex[;Score;FalsePositive-Regex]
Eigene Regeln einbinden:
YARA-Regel in
signature-base/yara/ablegenHashes/Filenames in
iocs-Dateien eintragen (Dateiname musshash,filenameoderc2enthalten)
Benutzerdefinierte Ausschlüsse (Excludes)
LOKI unterstützt benutzerdefinierte Ausschlüsse über die Datei ./config/excludes.cfg. Dort lassen sich z. B. Antivirus-Ordner oder temporäre Verzeichnisse ausschließen.
Format:
Jeder Eintrag ist ein Regex auf den vollen Pfad der Datei.
Empfehlungen & Best Practices
Immer mit Administratorrechten ausführen
Vor dem Einsatz Signaturen über
loki-upgrader.exeaktualisierenMit
--intenseeine tiefere Analyse durchführenLOKI nicht als AV-Ersatz verwenden – es ist ein Forensik-Tool
Ergebnisse mit Bedacht analysieren: LOKI generiert bewusst auch False Positives, um nichts zu übersehen
Beispielbefehl für Vollscan
Fazit
LOKI ist ein leichtgewichtiges, aber leistungsstarkes Werkzeug zur Erkennung von Indicators of Compromise – ideal für Incident-Responder und Analysten. Durch die einfache Bedienung, kombinierte Scans und YARA-Unterstützung eignet es sich für schnelle Spot-Checks ebenso wie für umfassende Analysen bei Security-Vorfällen.
Tipp: Nutze LOKI auch zur Verifikation verdächtiger Systeme, bevor du auf vollwertige Memory-Forensik-Tools (z. B. Volatility) zurückgreifst.
Last updated