THOR Lite
Enterprise-Ready IOC & YARA Scanner (Community Version)
Overview
THOR Lite ist die kostenfreie Community-Version des professionellen Forensik- und Threat-Detection-Tools THOR von Nextron Systems. Es kombiniert YARA-, IOC- und Heuristik-basierte Erkennungsmethoden zur Identifikation von Malware, APTs und verdächtigen Aktivitäten in Unternehmensnetzwerken und Einzelrechnern.
THOR Lite bietet eine tiefere Analyse und mehr Enterprise-Features als LOKI – bleibt dabei aber plattformübergreifend (Windows, Linux, macOS) und portabel.
Installation & Lizenz
Account erstellen: Gehe zu nextron-systems.com und registriere dich.
Download & Lizenz: Lade dir die ZIP-Datei für THOR Lite herunter. Sie enthält u. a.:
thor64-lite.exe(bzw. Linux/Mac-Version)thor-lite-util.exeLizenzdatei
thor-lite.lic
Vorbereitung:
Lege die Lizenzdatei ins gleiche Verzeichnis wie das Binary.
Führe folgende Befehle aus, um Signaturen zu aktualisieren:
thor-lite-util.exe update # Signaturen aktualisieren
thor-lite-util.exe upgrade # Programm aktualisierenTHOR Lite benötigt keine Installation und kann von USB, Netzwerkpfad oder lokalem Ordner ausgeführt werden.
Grundsätzliche Nutzung
Einfacher Full Scan (Windows):
Einfacher Full Scan (Linux):
Ergebnisse:
HTML-Report im Ausführungsverzeichnis
Zusätzlich: Textlogs, JSON/CSV für SIEM-Import
Häufig verwendete Optionen
--allhds
Scannt alle lokalen Festplatten (Windows)
--alldrives
Scannt alle Laufwerke (Linux/Mac)
--lookback 30
Nur Dateien betrachten, die in den letzten 30 Tagen geändert wurden
--cpulimit 30
CPU-Auslastung auf 30 % begrenzen
--nosoft / --nolowprio
Verhindert Prioritätsreduktion (nützlich bei Auslastung)
--utc
Timestamps in UTC (für korreliertes Timeline-Matching)
-t custom_scan.yml
Eigene Scan-Konfiguration laden (statt thor.yml)
Alle Optionen findest du im offiziellen THOR Manual unter: Manual-Link
Scan Templates (thor.yml)
THOR Lite nutzt YAML-basierte Scan-Templates zur Konfigurationsanpassung.
Standardpfad: ./config/thor.yml
Beispiel: Eigene Konfiguration verwenden
So kannst du gezielt Systemverzeichnisse, Extensions, IOC-Typen oder Log-Quellen definieren.
Vergleich zu LOKI
Merkmal
LOKI
THOR Lite
Plattform
Windows
Windows, Linux, macOS
Bedienung
Sehr einfach
Fortgeschritten, aber CLI-basiert
IOC-Typen
Filename, Hash, YARA
+ Network IOCs, Sigma Rules, Prozesskontext
Logging
Text, CSV
Text, JSON, HTML, CSV, Syslog
Templates
Manuell (Dateien)
YAML-basiert, flexibler
Integration
Manuell
SIEM-Integration, zentrale Auswertbarkeit
Integration in Incident-Response-Playbooks
THOR Lite eignet sich hervorragend für strukturierte IR-Playbooks. Besonders bei Host-Forensik und IOC-basierter Jagd bietet es hohe Präzision und Skalierbarkeit.
Beispielhafte Playbook-Integration
Detection
IOC-Scan auf kritischen Hosts bei SIEM-Alarm
Triage
Nutzung von Templates zur gezielten Analyse (nur Logs, nur System32, etc.)
Analysis
Bewertung verdächtiger Funde via HTML-Report, JSON für automatisierte Systeme
Containment
Bewertung C2-Endpunkte, Prozesse, DLL-Injection – manuelles oder automatisches Isolieren
Lessons Learned
Regeloptimierung und IOC-Sammlung aus Vorfall extrahieren
Best Practices
Führe regelmäßig Signatur-Updates mit
thor-lite-util.exe updatedurchVerwende
--lookbackfür Log-basiertes Threat HuntingHalte eigene IOC-Sets aktuell und nutze Scan-Templates
Vermeide Scans mit zu hoher Last ohne
--cpulimitNutze
--utcfür SIEM- und Timeline-Korrelation
Fazit
THOR Lite ist ein mächtiges, aber portables Threat-Hunting-Tool für Unternehmen. Es bietet deutlich mehr Kontrolle und Tiefe als LOKI und eignet sich durch YAML-Templates und Systemintegration hervorragend für strukturierte Analysen im Incident-Response-Kontext.
Tipp: Nutze THOR Lite als zuverlässiges Second-Opinion-Tool neben EDRs – besonders bei komplexen Angriffen oder für Retro-Hunting nach IOC-Updates.
Last updated