APT Scanner

فعالیت‌های پیشرفته هکرها را به صورت پیشگیرانه شناسایی کنید. نرخ شناسایی چشمگیر THOR در صنعت به‌خوبی شناخته شده است.

تور (thor) پیشرفته‌ترین و انعطاف‌پذیرترین ابزار ارزیابی آسیب‌پذیری در بازار است.

در تعاملات مربوط به پاسخ به حادثه، اغلب با گروهی از سیستم‌های آسیب‌دیده و گروهی حتی بزرگ‌تر از سیستم‌هایی که ممکن است تحت تأثیر قرار گرفته باشند، شروع می‌شود. تحلیل دستی تعداد زیادی تصاویر جرم‌شناسی می‌تواند چالش‌برانگیز باشد.

تور (thor) فرآیند تحلیل جرم‌شناسی شما را با بیش از ۳۰,۰۰۰ امضای YARA دست‌ساز، ۴,۰۰۰ قانون Sigma، قوانین متعدد تشخیص ناهنجاری و هزاران شاخص IOC سرعت می‌بخشد.

تور (thor) ابزاری ایده‌آل برای شناسایی عناصر مشکوک، کاهش حجم کار و تسریع تحلیل جرم‌شناسی در لحظاتی است که دستیابی سریع به نتایج حیاتی است.

امضاهای دست‌ساز YARA
+ 30000
قوانین دست‌ساز Sigma
+ 4000
ماژول‌های تشخیص
31
تحلیل جرم‌شناسی سریع‌تر
x 4

تمرکز بر فعالیت‌های هکری

تور (THOR) بر هر آنچه آنتی‌ویروس‌ها نادیده می‌گیرند تمرکز دارد. با مجموعه عظیم امضاهای شامل هزاران قانون YARA و Sigma، شاخص‌های IOC، بررسی‌های روت‌کیت و ناهنجاری، THOR انواع تهدیدها را پوشش می‌دهد. تور (THOR) نه تنها درهای پشتی و ابزارهایی که مهاجمان استفاده می‌کنند را شناسایی می‌کند، بلکه خروجی‌ها، فایل‌های موقت، تغییرات در پیکربندی سیستم و سایر ردپاهای فعالیت‌های مخرب را نیز شناسایی می‌کند.

استقرار انعطاف‌پذیر

تور (THOR) نیازی به نصب ندارد. شما می‌توانید به سادگی آن را به یک سیستم راه دور کپی کنید، از یک شبکه اشتراکی اجرا کنید یا آن را روی درایوهای USB که به سیستم‌های آسیب‌دیده حمل می‌کنید، استفاده کنید. با این حال، می‌توانید برای ارزیابی مداوم نفوذ، آن را با استفاده از عوامل ASGARD مستقر کنید.

نرخ تشخیص چشمگیر

نرخ تشخیص چشمگیر THOR در صنعت شناخته شده است و نیازهای شکارچیان تهدید در سراسر جهان را برآورده می‌کند. هزاران امضای عمومی، ناهنجاری‌ها، تکنیک‌های مبهم‌سازی و ویژگی‌های مشکوک را شناسایی می‌کنند تا ارزیابی نفوذ را به‌سرعت تسریع بخشند.

گزینه‌های خروجی متعدد

تور (THOR) از روش‌های مختلفی برای گزارش یافته‌ها پشتیبانی می‌کند. این ابزار یک گزارش متنی ایجاد می‌کند یا پیام‌های SYSLOG را به سیستم‌های راه دور ارسال می‌کند (TCP، UDP، CEF، JSON، همراه با گزینه TLS). در پایان اسکن، یک گزارش HTML تولید می‌شود. شما می‌توانید از برنامه رایگان Splunk یا ASGARD Analysis Cockpit برای تحلیل گزارش‌های THOR از هزاران سیستم استفاده کنید.

شاخص‌های سفارشی نفوذ (IOCها) و قوانین YARA

شما می‌توانید به‌راحتی شاخص‌ها و امضاهای خود را از منابع تهدید، تحقیقات شخصی یا گزارش‌های تهدید اضافه کنید.

گزینه‌های خروجی متعدد

تور (THOR) از روش‌های مختلفی برای گزارش یافته‌ها پشتیبانی می‌کند. این ابزار یک گزارش متنی ایجاد می‌کند یا پیام‌های SYSLOG را به یک سیستم راه دور ارسال می‌کند (TCP، UDP، CEF، JSON، با گزینه اختیاری TLS). در پایان اسکن، یک گزارش HTML تولید می‌شود. شما می‌توانید از برنامه رایگان Splunk یا ASGARD Analysis Cockpit برای تحلیل گزارش‌های THOR از هزاران سیستم استفاده کنید.

استخراج‌گر اطلاعات کاربری

استخراج‌گرهای اطلاعات کاربری مدت‌هاست که به عنوان ابزارهای با کاربرد دوگانه شناخته می‌شوند. تنها اخیراً آنتی‌ویروس‌ها شروع به گزارش دادن آن‌ها کرده‌اند، اما همه فروشندگان آنتی‌ویروس هنوز این کار را انجام نمی‌دهند.

Tiny Web Shell

بسیاری از آنتی‌ویروس‌ها در تشخیص شل‌های وب مشکل دارند. دلیل آن می‌تواند این باشد که محتوای این شل‌ها به راحتی و به روش‌های مختلف قابل تغییر است. ابزار THOR دارای قوانین زیادی برای شناسایی شل‌های وب و قواعد جستجوی تهدید است که ویژگی‌های خاصی را که معمولاً در شل‌های وب وجود دارد، شناسایی می‌کند.

Renamed PsExec

مدیران معمولاً ابزارهای شناخته‌شده را تغییر نام نمی‌دهند، در حالی که مهاجمان این کار را زیاد انجام می‌دهند. THOR ابزارهای تغییرنام‌داده‌شده زیادی را شناسایی می‌کند که می‌توانند برای شناسایی، حرکت جانبی یا استخراج اطلاعات استفاده شوند.

Hacktool Output

مهاجمان فقط ابزارها را روی یک سیستم قربانی نمی‌ریزند، بلکه از آن‌ها استفاده هم می‌کنند. اجرای این ابزارها ردپاهایی در کش‌ها و روی دیسک باقی می‌گذارد. THOR بسیاری از فایل‌های خروجی تولیدشده توسط ابزارهای هک را شناسایی می‌کند و حتی اگر فایل اجرایی توسط مهاجم حذف شده باشد، استفاده از آن‌ها را تشخیص می‌دهد.

LSASS Memory Dump

هنگام کار بر روی سیستم‌های آلوده، مهاجمان ردهایی از فعالیت خود باقی می‌گذارند، حتی اگر هیچ ابزار هک یا بدافزاری مستقیماً استفاده نشده باشد. THOR فایل‌های موقتی مانند دامپ حافظه‌ی پردازش LSASS را شناسایی می‌کند. این فایل‌ها شامل اطلاعات ورود (credentials) هستند و مهاجمان می‌توانند از آن‌ها برای استخراج این اطلاعات روی یک سیستم راه‌دور استفاده کنند.

ناهنجاری در فایل‌های سیستمی

فایل‌های سیستمی ویژگی‌های خاصی دارند. THOR دارای قوانین زیادی برای تشخیص ترکیب‌های مشکوک در این ویژگی‌ها است. بسته‌بندی‌های اجرایی مشکوک، اطلاعات کپی‌رایت PE، اندازه فایل‌ها و امضاکنندگان فایل‌های PE تنها برخی از مواردی هستند که THOR در فایل‌های سیستمی بررسی و شناسایی می‌کند.

Use Cases

انعطاف‌پذیری THOR بی‌نظیر است. این ابزار می‌تواند به‌صورت مستقل برای تریاژ، تحلیل فارنزیک زنده یا اسکن تصاویر در محیط آزمایشگاهی استفاده شود.

تور (THOR) ابزار ایده‌آلی برای برجسته‌سازی عناصر مشکوک، کاهش حجم کاری و تسریع تحقیقات DFIR در لحظاتی است که دستیابی سریع به نتایج حیاتی است.

  • رفت و برگشت تریاژ محیط

  • تحلیل زنده جرم‌شناسی سیستم واحد

  • آزمایشگاه جرم‌شناسی اسکن تصویر

  • حالت منطقه رهاسازی نمونه

  • اسکن Remote

شاخص‌های سفارشی و قوانین YARA

تور (THOR) از YARA به‌عنوان فرمت اصلی امضای خود استفاده می‌کند. نحوه ادغام YARA در THOR کاملاً با امضاهای معمولی YARA سازگار است، اما THOR تطبیق استاندارد را گسترش داده تا امکان بررسی‌های اضافی خاص فراهم شود.

شما می‌توانید به‌راحتی پایگاه داده یکپارچه را با قوانین و شاخص‌های سازگاری (IOC) خودتان گسترش دهید. این کار تنها با قرار دادن قوانین در پوشه استاندارد امضاها امکان‌پذیر است.

مستندات راهنمایی‌های لازم را در مواردی که قصد استفاده از افزونه‌های خاص یا رمزنگاری امضاهای خود پیش از استقرار دارید، ارائه می‌دهد.

Multi-Platform

تور(THOR) بر روی تمام نسخه‌های فعلی و بسیاری از نسخه‌های قدیمی ویندوز، لینوکس و macOS اجرا می‌شود.

با این حال، با استفاده از THOR Thunderstorm می‌توانید اسکن‌های THOR را روی هر سیستم‌عاملی اجرا کنید. شما می‌توانید سیستم‌های زنده، تصاویر دیسک، یا شواهد خاص فارنزیک مانند فایل‌های EVTX، حافظه دامپ شده یا بخش‌های Registry را اسکن کنید.

17

تحلیل Eventlog، لاگ‌های رویداد محلی ویندوز را بررسی می‌کند، به دنبال شاخص‌های سازگاری (IOC‌ها) مانند شاخص‌های فایل در ورودی‌ها می‌گردد و قوانین سیگما را بر هر ورودی لاگ اعمال می‌کند.

10

ویژگی‌ای به نام THOR Remote به شما اجازه می‌دهد تا چندین سیستم‌عامل انتهایی ویندوز را از یک ایستگاه کاری دارای دسترسی بالا اسکن کنید. این ویژگی را می‌توان ترکیبی از PsExec با قدرت THOR در نظر گرفت.

18

ماژول Registry شاخص‌های سازگاری (IOC) مربوط به نام فایل‌ها و قوانین YARA اختصاصی THOR را برای شناسایی در رجیستری و بخش‌های رجیستری بارگذاری‌شده اعمال می‌کند.

19

ماژول Shim Cache محتوای AppCompatCache در سیستم‌های ویندوز را تحلیل می‌کند، تمام شاخص‌های سازگاری (IOC) مربوط به نام فایل‌ها، قوانین ناهنجاری مبتنی بر Regex را اعمال می‌کند یا به‌سادگی تمام ورودی‌ها را برای بررسی شما نمایش می‌دهد. این ماژول به شما امکان می‌دهد تا برنامه‌های مخرب یا مشکوکی را شناسایی کنید که مهاجمان مدت‌ها پیش از سیستم حذف کرده‌اند.

20

ایمپلنت‌هایی که توسط عاملان تهدید پیشرفته استفاده می‌شوند، با روش‌های معمولی دشوارتر شناسایی می‌شوند و نیاز به تکنیک‌های بازرسی پیچیده‌تری دارند. THOR مجموعه‌ای جامع از مقادیر مخرب Mutex، Named Pipe و Event دارد و هر مورد شناسایی‌شده را با متادیتای مرتبط غنی‌سازی می‌کند تا تحلیل‌های بعدی را تسهیل کند.

21