Sucht, was ihr wollt!
Systemeinbrüche aufdecken mit LOKI
LOKI durchsucht ähnlich wie Virenscanner Clients und Server nach Einbruchsspuren. Aber besser als Virenscanner lässt er sich leicht mit selbst erstellten Signaturen füttern und kann damit direkt auf neue Bedrohungen reagieren.
Wer im Internet nach Informationen zu Angriffen auf Unternehmensnetzwerke oder zu aktuellen Schadcode-Kampagnen sucht, kann sich über einen Mangel an Informationen nicht beschweren: Sicherheitssoftwarehersteller, unabhängige Experten und staatliche Behörden wie das US-CERT informieren umfassend zu aktuellen Fällen. Mit dabei sind fast immer Dateinamen und -hashes, IP-Adressen von Command-and-Control-Servern und Codeauszüge aus schädlichen Skripten. Noch detailliertere Informationen zu Schadcode nebst sämtlichen Komponenten bieten die automatisch generierten Analyseberichte von Online-Services wie VirusTotal oder Hybrid-Analysis.
All diese Informationsbausteine liefern Hinweise auf erfolgreiche Einbrüche (Indicators of Compromise, kurz IoC). Netzwerkadmins, aber auch sicherheitsbewussten Privatleuten drängt sich geradezu der Gedanke auf, damit auch die eigenen Systeme und Netze nach Anzeichen auf Kompromittierungen zu durchsuchen.