Dzisiejsze oprogramowanie antywirusowe działał w coraz szerszym zakresie działania. Jednak generalnie nastawione jest aby wykrywać wirusy, trojany, exploity, rootchecki  inne tego typu złośliwe oprogramowanie. Natomiast Thor, wykrywa narzędzia używane przez hakerów, zmiany w systemie, nietypowe logi i inne elementy, które mogą wskazywać, że system został zaatakowany przez hakera. Thor nie tylko wykrywa backdoory czy narzędzia hakerskie ale też skupia się na outputach tymczasowym plikach, zmianach w konfiguracji systemu czy innych śladach podejrzanej aktywności. 

Dzięki Thorowi mamy pełniejszy obraz sytuacji  po włamaniu czy innym naruszeniu bezpieczeństwa w systemach informatycznych (kompromitacji) i możemy szybko zareagować na incydent.

Analitycy bezpieczeństwa, eksperci i specjaliści bezpieczeństwa regularnie aktualizują bazy z rożnych źródeł na temat wzorców ataku i aktualnych narzędzi hakerskich.

Thor wykorzystuje ogromną bazę definicji zagrożeń, pobiera je z zbioru o nazwie Valhalla (w tym YARA i Sigma), a dodatkowo umożliwia dodawanie własnych definicji aby umożliwić pełniejszą analizę (własne Indicators of Compromise). 

Definicje obejmują reguły firewalli, sygnatury anomalii, bazę złośliwego oprogramowania, bazę narzędzi hakerskich i informacje o ich danych wynikowych (output), bazę sygnatur niebezpiecznych skryptów i makr, reguły kodu exploitów oraz reguły rejestrów systemu i logów dziennika. Thor skutecznie wykrywa zagrożenie typu Remote Access Trojans (RAT).

Thor działa na systemach z rodziny Windows, Linux, MacOS i AIX. Polecany jest dla osób zajmującym się bezpieczeństwem informatycznym i administratorów  IT. 

Thor to produkt niemieckiej firmy Nextron Systems GmbH ewidentnie zafascynowanej mitologią nordycką.  

Przegląd funkcji

Thor jest łatwy w użyciu narzędziem, nie wymaga instalacji. Działa w pełni offline.
A co ważne, w przypadku systemów Windows, to to, że nie ma szczególnych wymagań co do środowiska uruchomieniowego – nie wymaga dodatkowych bibliotek czy frameworków (np. Java , .net czy innych).

Skanowanie systemu może być uruchamiane z dowolnego nośnika bądź zasobu sieciowego. Natomiast skanowanie całego środowiska w sieci można wywołać ręcznie albo po przez inne programowanie jak SCCM, harmonogram zadań czy GPO lub dowolne inne oprogramowanie do zdalnej administracji systemami.  

Funkcja zdalnego skanowania o nazwie „THOR Remote” umożliwia wykonywanie skanów na wielu  zdalnych systemach z jednej stacji roboczej administratora. Nie wymaga instalowania agentów – wystarczy  administrator i otwarte porty  TCP 135 i 445 na zdalnych końcówkach. Do Thora stworzono też dodatkowe narzędzie ASGARD. Jest to panel zarządzania skanowaniem w środowiskach sieciowych, gdzie można przeglądać wyniki z przeskanowanych wielu hostów. 

Thor posiada także dokładny/głęboki tryb skanowania (DeepDive), który skanuje wolną przestrzeń na dysku w poszukiwania skasowanych narzedzi  hakerskich i ich śladów. Choć ten tryb zgłasza sporo alarmów false-positive to jest przydatny do dogłębnej analizy.

Skompresowane pliki  potrafi zdekompresować w pamięci aby je dokładnie przeskanować. 

Kontrola obciążenia systemu monitoruje zasoby systemu podczas skanowania. Jeśli dostępna wolna pamięć spadnie poniżej pewnego progu, program zatrzymuje skanowanie i kończy z ostrzeżeniem. Automatycznie stosuje ograniczanie przepustowości, jeśli wykryje niskie zasoby sprzętowe i wyłącza funkcje, które mogą mieć wpływ na stabilność systemu. To ma duże znaczenie podczas skanowania środowisk na produkcji. Oczywiście przez to czas skanowania może być dłuższy jednak tu najważniejsza jest stabilność systemu aniżeli szybki czas wykonania skanowania.  Thor obsługuje throttling i limity. Przesyła dane do sysloga w małych paczkach do 5 MB.

Sposoby wykrywania zagrożeń i włamań 

System punktacji zagrożenia (scoring).

Typowe rozwiązanie antywirusowe szuka znanych “złośliwych” obiektów. Natomiast THOR jest system punktacji, który na podstawie różnych składowych, atrybutów, danych  dodaje lub odejmuje punkty i na podstawie końcowego wyniku jest w stanie określić czy dany obiekt kwalifikuje do kategorii “Notice” albo „Warning” albo „Alert”.  

Na przykład, sprawdzane jest  czy dany obiekt jest plikiem wykonywalnym czy usługa, sprawdzany i oceniany jest rozmiar pliku, lokalizacja, nazwa, czy rozszerzenie w nazwie zgadza się z formatem pliku, a także czy dany obiekt występuje w znanych definicjach zagrożeń (np Yara). Na podstawie wielu informacji o obiekcie/pliku przydziela odpowiednią ilość punktów, które kwalifikują obiekt do określenia poziomu zagrożenia. Dzięki takiemu podejściu można wykryć całkiem nowe nieznane dotąd zagrożenia.

Przykłady wykrywanych zagrożeń

Wiele programów antywirusowych ma problemy z wykrywaniem szkodliwych skryptów webowych (webShell). Dzięki takim skryptom haker uzyskuje dostęp do panelu zarządzania serwerem i  w efekcie ma pełen dostęp do systemu plików serwera. Thor wyłapuje takie skrypty. A dodatkowo zna reguły powłoki sieciowej i wykrywa nietypowe wyjątki.

Użytkownicy zazwyczaj nie zmieniają nazw dobrze znanych narzędzi, podczas gdy hakerzy robią to często. THOR wykrywa zwykłe narzędzia o zmienionych nazwach, które mogą być wykorzystywane do ustawienia dostępu bądź udostępnienia danych. 

Ślady i dane wynikowe (outputs) z narzędzi hakerskich. Użycie tych narzędzi pozostawia ślady w pamięciach podręcznych (cache) i na dysku. Thor wykrywa wiele plików wyjściowych generowanych przez narzędzia hakerskie i wykazuje ich użycie, nawet jeśli plik wykonywalny został skasowany przez hakera.

Podczas pracy na zaatakowanych systemach osoby atakujące pozostawiają ślady swojej pracy, nawet jeśli nie jest używane żadne narzędzie hakerskie ani złośliwe oprogramowanie. THOR wykrywa pliki tymczasowe, takie jak zrzut pamięci procesu procesu LSASS ( zrzutu danych uwierzytelniających systemu Windows), (ang. Local Security Authority Subsystem Service), który zawiera poświadczenia i może być wykorzystany przez atakujących do uzyskania dostępu do systemu ofiary.

A dodatkowo, Thor potrafi:

• sprawdzić czas ticketów Kerberosa i jeśli ten jest nietypowy to odpowiednio zgłasza to w raporcie. 

• sprawdzić podatności konfiguracji aplikacji. Jak na przykład pozostawione domyślne lub za krótkie hasło   

• porównać ostatni czas restartu usługi względem daty publikacji krytycznej poprawki bezpieczeństwa

• i jeszcze kilka mniejszych ficzerów wpływających symarczynie na wyjątkową skuteczność wykrywania zagrożeń 

Raportowanie 

Wynik skanowania możemy zapisać do  pliku testowego, czytelnego raportu HTML czy do Sysloga. Obsługuje też format JSON i  CEF od ArcSight. Możliwa jest integracja ze Splunkiem czy innym własnym systemem analizy w panelu ASGARD. Dodatkowo Thora można zintegrować z innymi rozwiązaniami SIEM

 Raport HTML z Thora zawiera w górnej części podsumowanie skanowania, a w dolnej bardziej szczegółowe dane odnośnie zgłoszonych obiektów.

Thor w informacjach wynikowych odpowiednio koloruje tekst aby lepiej zobrazować sytuację. Na niebiesko jest zauważony obiekt, na żółto ostrzenie a na czerwono alarm. Przy standardowym outpucie podaje tylko dwa pierwsze największe powody wysokiej punktacji, jednak to można też ustawić.

Thor potrafi usunąć informacje osobiste z logów poprzez zanonimizowane ciągów tekstowych zawierających informacje z nazwa użytkownika/właściciela. Co może być przydatne tam gdzie szczególny nacisk kładzie się na ochronę danych osobowych

Podsumowanie

Antywirus wykrywa wirusy. Thor wykrywa hakerów.

Tak więc Thor idealnie uzupełnia praktyki bezpieczeństwa jakie są wymagane w dzisiejszych systemach.  

Thor występuje w kilku wersjach: 

Thor 10 – pełna komercyjna  wersja i wszystkie funkcjonalności.

Thor lite  – bardzo okrojona darmowa wersja do zastosowań niekomercyjnych (wymagana rejestracja)

Loki – darmowy skaner, uboższy niż Thor Lite

Tu porównanie https://www.nextron-systems.com/compare-our-scanners/