امروزه دیگر نمیتوان فقط به بررسی لاگها یا فایلهای روی دیسک برای کشف نفوذها اکتفا کرد. مهاجمان حرفهای از تکنیکهایی استفاده میکنند که هیچ ردپایی روی دیسک باقی نمیگذارند؛ بهجای آن، همهچیز را در حافظهی موقت سیستم (RAM) اجرا میکنند. به این نوع حملات میگویند: Fileless Attack. حملاتی که اثری از خود روی دیسک نمیگذارند و فقط در حافظه سیستم فعالیت میکنند.
اینجاست که Memory Forensics اهمیت پیدا میکند! یعنی هنر و علم تحلیل محتوای حافظه سیستم بهمنظور کشف رفتارهای مشکوک، بدافزارهای پنهان، یا اثرات نفوذهایی که ممکن است هیچجا ثبت نشده باشند.
چرا باید برای شما، بهعنوان یک مدیر امنیتی، مهم باشد؟
- چون فایلهای ثبت رویداد (log files) همیشه کافی نیستند.
- چون برخی بدافزارها مانند Cobalt Strike, Meterpreter یا Sliver فقط در RAM اجرا میشوند.
- چون تحلیل حافظه میتواند رفتار مهاجم را دقیقاً همانطور که بوده، به شما نشان دهد.
Loki چیست و چرا مفید است؟
Loki یک ابزار Open Source برای شناسایی تهدیدهاست که با استفاده از پایگاه دادهای از شاخصهای تهدید (IOC – Indicator of Compromise)، حافظه و فایلهای سیستم را اسکن میکند. اما نکتهی مهم اینجاست!
Loki ابزار سبکیست که میتواند بدون نیاز به نصب، روی هر سیستمی اجرا شود و در عرض چند دقیقه به شما بگوید که آیا چیزی مشکوک در حافظه یا فایلهای سیستم پیدا شده یا نه؟
چه زمانی از Loki استفاده میشود؟
- در تحقیقات اولیه پس از یک نفوذ (Initial Triage)
- برای اسکن سریع سیستمهای مشکوک در سازمان
- در کنار ابزارهای پیشرفتهتر مثل Volatility یا EDR برای اعتبارسنجی یافتهها
به زبان ساده: اگر بخواهید بدون صرف زمان زیاد و بدون نیاز به نصب ابزارهای پیچیده، بفهمید که آیا سیستمی در سازمانتان آلوده است یا نه، Loki یکی از سریعترین راهکارهاست — مخصوصاً در مواردی که تهدید فقط در RAM پنهان شده باشد.
🛠️ پیشنیازهای نصب و راهاندازی Loki
بهعنوان یک مدیر امنیت، لازم نیست خودتان وارد جزئیات نصب شوید، اما باید بدانید چه چیزهایی برای اجرای موفق Loki لازم است — تا بتوانید اجرای آن را به درستی به تیم امنیت یا IT بسپارید.
حداقلها برای شروع:
|
مورد |
دلیل اهمیت |
|---|---|
|
سیستمعامل Windows (ترجیحاً Server یا Pro) |
چون Loki عمدتاً برای محیط ویندوز طراحی شده |
|
دسترسی Administrator |
برای اینکه بتواند حافظه و فایلهای سیستمی را بخواند |
|
اتصال به اینترنت (اختیاری) |
برای آپدیت امضاها (Signatures) در صورت نیاز |
|
ابزارهای کمکی مثل Volatility یا RAM Capturer |
برای تحلیل عمیقتر حافظه در مراحل بعدی |
🎯 نکته مدیریتی: Loki را میتوان روی لپتاپ Incident Responder اجرا کرد یا از طریق یک ابزار مدیریت مرکزی (مانند EDR ) روی سیستمهای مشکوک پخش کرد.
⬇️ دانلود و اجرای Loki
برای تیم امنیت سازمان، مهمترین ویژگی Loki این است که نیاز به نصب ندارد و در اصطلاح portable است. یعنی میتوان آن را به سرعت روی سیستمهای مشکوک اجرا کرد.
مراحل اجرای اولیه:
- فایل اجرایی Loki را از GitHub دانلود کنید:
🔗 https://github.com/Neo23x0/Loki - فایل را از حالت فشرده خارج کنید.
- در محیط Command Line، آن را اجرا کنید.
مثال اجرای اسکن حافظه:
loki.exe --memscan
✅ این دستور بهصورت خاص فقط حافظه را اسکن میکند — مناسبترین گزینه برای تحلیل Memory در لحظه.
🔍 تفسیر نتایج اسکن حافظه با Lokiبرای مدیران امنیت
بعد از اسکن، Loki گزارشی بهصورت فایل متنی تولید میکند. حالا سؤال اینجاست:
چه چیزی در این گزارش برای شما مهم است؟
به موارد زیر توجه کنید:
- Alert : احتمال وجود بدافزار یا فعالیت مشکوک
- Warning : نشانههایی که باید بیشتر بررسی شوند
- Notice : موارد مشکوک با ریسک کمتر
🔐 نکته کاربردی: شما بهعنوان مدیر لازم نیست هر خط گزارش را بخوانید؛ کافیست موارد Alert را به تیم Threat Hunting یا Forensics ارجاع دهید تا بررسی فنی انجام دهند.
🔄 بهروزرسانی امضاهای تهدید در Loki
(برای حفظ دقت اسکن)
Loki برای تشخیص تهدید از پایگاه دادهای از نشانهها (IOC) استفاده میکند. این امضاها باید مرتباً بهروز شوند تا تهدیدهای جدید شناسایی شوند.
چگونه این کار انجام میشود؟
تیم امنیتی شما با جایگزینی محتویات پوشه signatures/ از ریپازیتوری زیر، ابزار را آپدیت میکند:
🔗 https://github.com/Neo23x0/signature-base
نکته ی مهم برای شما بهعنوان مدیر این است که به تیم خود تأکید کنید که این کار باید بهصورت دورهای (مثلاً هفتگی) انجام شود.
🎯 نکته کلیدی: استفاده ترکیبی با ابزارهای حرفهایتر
Loki برای کشف اولیه فوقالعاده است، اما ممکن است بخواهید تحلیل دقیقتری روی حافظه انجام دهید. در اینجا ابزارهایی مانند Volatility وارد عمل میشوند.
سناریوی پیشنهادی:
- اگر Loki مورد مشکوکی در RAM پیدا کرد،
- تیم امنیتی شما میتواند با ابزارهایی مانند Volatility، حافظه را بهصورت عمیقتر تحلیل کرده و رفتار بدافزار را بازسازی کند.
💡 به زبان ساده:
Loki همچون سگ نگهبان است که در صورت مشاهده ی خطر واکنش نشان می دهد. ابزارهای پیشرفتهتر مثل Volatility، پلیس تحقیقاتی هستند که عمق ماجرا را بررسی میکنند.
✅ جمعبندی مدیریتی
|
چرا Loki ابزار مهمی است؟ |
|---|
|
اجرا بدون نصب، سبک و سریع |
|
مناسب برای بررسی سریع سیستمهای مشکوک |
|
قابل اجرا در کنار EDR و SIEM |
|
استفاده در سناریوهای Incident Response و Threat Hunting |
|
کمک به شناسایی تهدیدهای Memory-based که در لاگها نمیآیند |
💡 نکته پایانی:
Loki قرار نیست جای EDR یا SIEM را بگیرد، اما میتواند در سناریوهای زیادی مکمل آنها باشد. بخصوص در مواقعی که زمان حیاتیست، یا در سیستمهایی که ابزارهای پیشرفتهتر نصب نیستند، Loki میتواند اولین نورافکن شما برای کشف تهدید باشد — سبک، سریع، و بدون وابستگی سنگین.
