در مقالهی قبلی سلام دیجی، با ابزار سبک و متنباز LOKI Scanner آشنا شدیم؛ ابزاری که برای تحلیل IoC محور، بررسی فایلها و تشخیص سریع بدافزارها روی سیستمهای ویندوزی طراحی شده بود. اما در فضای واقعی و پرتنش امنیت سایبری، جایی که حملات APT با تکنیکهای پیچیده و ماندگاری طولانی اجرا میشوند، تیمهای امنیت نیازمند ابزارهای قدرتمندتر و جامعتر نیز هستند.
اینجاست که THOR APT Scanner وارد میدان میشود؛ ابزاری حرفهای، دقیق و مناسب برای شکار تهدیدات پیشرفته در مقیاس سازمانی.
THOR چیست؟ بررسی تخصصی ابزار پیشرفته شکار تهدیدات APT
THOR APT Scanner یک ابزار تحلیل و شناسایی تهدیدات پیشرفته است که توسط شرکت امنیتی Nextron Systems توسعه یافته و بهعنوان نسخه تجاری، بهینهشده و بسیار قدرتمندتر از ابزار رایگان و سبکتر LOKI Scanner شناخته میشود. در واقع، THOR برای تیمهای امنیتی حرفهای، مراکز SOC و تحلیلگران تهدید طراحی شده که نیاز به کشف رفتارهای مشکوک، Indicators of Compromise (IoCs)، و تکنیکهای پیچیدهی APT (Advanced Persistent Threats) دارند.
مهمترین قابلیتهای THOR به زبان تخصصی:
1. استفاده از YARA Rules پیشرفته و Threat Intel بروز
THOR از قوانین YARA سفارشی و صدها امضای آماده برای شناسایی بدافزارها، backdoorها و تروجانها استفاده میکند. این قوانین بهصورت مداوم از طریق پایگاه دادهی اختصاصی Nextron بهروزرسانی میشوند.
📌 مثال: اگر فایل اجرایی خاصی مانند svchost_fake.exe با رفتار مشابه به backdoorهای شناختهشده مشاهده شود، YARA rule مربوطه آن را شناسایی و قرنطینه میکند.
2.تحلیل جامع سیستم و منابع حیاتی
برخلاف ابزارهایی که فقط روی فایلها تمرکز دارند، THOR تحلیل عمیقی روی اجزای حیاتی سیستم انجام میدهد:
✔️Windows Registry : بررسی autorunها، کلیدهای مخفی و پایداری بدافزارها.
✔️Event Logs : تحلیل وقایع مشکوک مانند اجرای PowerShell غیرمجاز یا ورودهای مشکوک.
✔️DLL و Process Analysis : بررسی بارگذاریهای مشکوک در حافظه یا فرآیندهای ناشناخته.
📌 مثال: اگر در لاگها رویداد 4624 (ورود موفق) با شناسه کاربری مشکوک از یک IP خارجی ثبت شده باشد، THOR آن را برجسته میکند و در کنار آن رفتار اجرای powershell -enc ... را تحلیل میکند.
3.قابلیت ادغام با SIEM و ابزارهای مانیتورینگ
THOR بهصورت بومی خروجیهایی با فرمتهای JSON، Syslog و CSV تولید میکند که قابلیت ارسال به ابزارهایی نظیر Splunk، Elastic Stack (ELK) یا سایر سیستمهای SIEM را دارند. این ویژگی امکان تهدیدیابی بلادرنگ (real-time threat hunting) را فراهم میکند.
📌 مثال: اگر در یک سازمان خروجیهای THOR به SIEM ارسال شوند، تیم SOC میتواند بهسرعت گرافهای زمانی برای حملات lateral movement طراحی کند.
چرا THOR برای تیمهای امنیتی حیاتی است؟
در حملات پیچیدهی امروز، مانند استفاده از living-off-the-land binaries (LOLBins) یا تکنیکهای fileless malware، ابزارهای معمول امنیتی قادر به تشخیص تهدید نیستند. THOR با تکیه بر تحلیل رفتاری، هوش تهدید و همبستسازی چندمنظوره، تهدیداتی را کشف میکند که اغلب از دید آنتیویروسها و ابزارهای سنتی مخفی میمانند.
مقالات مرتبط: 🔍آموزش جامع نصب و استفاده از Loki برای Memory Forensics – راهنمای مدیران امنیت
تفاوتها و ارتقای عملکرد از LOKI به THOR
همانطور که گفتیم THOR Scanner نسخه پیشرفته، حرفهای و بهینهشدهی LOKI است که برای استفاده در محیطهای عملیاتی، تیمهای SOC و تحلیلگران امنیت سازمانی طراحی شده است. در این بخش، بهصورت دقیق به تفاوتها و مزایای THOR نسبت به LOKI میپردازیم:
1.قابلیت پوشش و تحلیل کاملتر سیستم
|
ابزار |
سطح اسکن |
اجزای قابل بررسی |
|---|---|---|
|
LOKI |
پایه |
فایلها، مسیرهای مشکوک، DLLها |
|
THOR |
پیشرفته |
رجیستری، Event Log، حافظه، شبکه، فایل، DLL، سرویسها، Scheduled Tasks |
📌 تحلیل: THOR قابلیت بررسی رفتارهای پیچیدهی بدافزارها، پایداری (Persistence) و لاگهای امنیتی را دارد، درحالیکه LOKI تمرکز سادهتری روی IoCهای فایلمحور دارد.
2. پشتیبانی از Signature و Threat Intel گستردهتر
LOKI تنها با Signatureهای محدود داخلی و YARAهای ساده کار میکند. در مقابل:
✔️ THOR شامل صدها YARA Rule حرفهای و Threat Feedهای بروز است.
✔️دارای مکانیزم دریافت آپدیت خودکار از سرورهای Nextron برای Signatureها و IoCهاست.
✔️توانایی تطبیق با تهدیدات روز مانند Cobalt Strike، Sliver و دیگر فریمورکهای Post-Exploitation را دارد.
3.خروجیهای حرفهای و مناسب برای ادغام با ابزارهای امنیتی
|
ابزار |
نوع خروجی |
ادغام با SIEM |
|---|---|---|
|
LOKI |
ساده (TXT, HTML) |
بهصورت دستی |
|
THOR |
JSON, CSV, HTML, Syslog |
پشتیبانی از Splunk، ELK، QRadar، Sentinel |
📌 مثال: اگر در سازمان شما از ELK Stack استفاده میشود، خروجی JSON از THOR را میتوانید به Logstash ارسال کرده و داشبورد تحلیلی تهدید ایجاد کنید.
4. پایداری، کارایی و سرعت در محیطهای بزرگ
LOKI برای بررسی سریع و سبک در سیستمهای محدود یا حین بررسی حادثه (Incident Triage) مناسب است.
THOR توان اجرای اسکنهای گسترده در شبکههای Enterprise را دارد و قابلیت زمانبندی، اجرای اسکریپتهای خودکار و استفاده از منابع چندهستهای CPU را دارد.
5. پشتیبانی رسمی و قابلیت تنظیم پیشرفته
LOKI یک ابزار رایگان و بدون پشتیبانی رسمی است. اما THOR دارای ویژگیهای زیر است:
✔️پشتیبانی فنی از سوی Nextron
✔️تنظیمات پیشرفته برای رفتارهای اسکن (مثلاً اسکن فقط روی پسوند خاص یا خارجکردن مسیرهایی از اسکن)
✔️ادغام با Aurora Agent (برای real-time scanning)
جمعبندی: چرا باید از LOKI به THOR مهاجرت کرد؟
|
ویژگی |
LOKI |
THOR |
|---|---|---|
|
رایگان بودن |
✅ |
❌ (تجاری) |
|
اسکن سریع سبک |
✅ |
✅ |
|
پشتیبانی Threat Intel بروز |
❌ |
✅ |
|
تحلیل لاگ، رجیستری، حافظه |
❌ |
✅ |
|
خروجی قابل ادغام با SIEM |
❌ |
✅ |
|
مناسب تیمهای SOC و IR |
❌ |
✅ |
راهنمای اجرای THOR : مراحل نصب و استفاده برای تحلیلگران امنیت سایبری
پس از آشنایی با قابلیتهای THOR، زمان آن رسیده تا نحوهی اجرای این اسکنر قدرتمند را در محیطهای واقعی بررسی کنیم. برخلاف ابزارهای سبک مانند LOKI که اغلب بهصورت Portable اجرا میشوند، THOR بهعنوان ابزار حرفهای نیاز به مقدماتی مانند لایسنس، تنظیمات دقیق و انتخاب مناسب Mode اسکن دارد.
1.پیشنیازها و دریافت THOR
برای استفاده از THOR، ابتدا باید از وبسایت رسمی Nextron یا کانالهای تأییدشده لایسنس معتبر تهیه شود. نسخهی حرفهای شامل:
THOR Scanner (CLI)✔️
✔️پایگاه دادهی تهدید بهروز (Signature Sets)
✔️اسکریپتهای کمکی برای اتوماسیون و ادغام
🔗 لینک رسمی: https://www.nextron-systems.com/thor
2. اجرای اولیه اسکن (Basic Command)
پس از استخراج فایلها، THOR را میتوان بهسادگی از طریق PowerShell یا CMD اجرا کرد. نمونهای از دستور ابتدایی برای اسکن کامل سیستم:
bash
CopyEdit
thor64.exe --intense --nolog --fsonly --lab
توضیح سویچها:
✔️--intense : فعالسازی اسکن عمیق
✔️--nolog : غیرفعالکردن ثبت رویدادهای محلی
✔️--fsonly : فقط بررسی فایل سیستم (بدون رجیستری یا شبکه)
✔️--lab : اجرا در حالت آزمایشی، بدون تأثیر روی سیستم
📌 نکته: در محیطهای عملیاتی، توصیه میشود از پارامتر --noresume برای جلوگیری از استفاده از cache اجراهای قبلی استفاده شود.
3. تحلیل خروجیها
پس از اتمام اسکن، THOR فایلهایی با فرمتهای زیر تولید میکند:
✔️thor.log (خروجی کامل قابل خواندن)
✔️thor.json (برای ارسال به SIEM)
✔️thor.html (خلاصه گرافیکی برای مرور سریع)
تحلیلگران میتوانند از طریق ابزارهایی مانند Kibana، Splunk یا حتی Excel نتایج را فیلتر کرده و موارد مشکوک را شناسایی کنند.
📍 مثال تحلیل: اگر فایل اجرایی C: \Users\Public\rat.exe بهعنوان High Risk Malware شناسایی شده، این آیتم با Severity بالا در خروجی HTML گزارش میشود و هش آن در بخش مربوط به IoC قابل بررسی است.
4 . استفاده از حالتهای پیشرفته اسکن
THOR دارای چندین mode برای کاربردهای خاص است:
|
Mode |
کاربرد |
دستور نمونه |
|---|---|---|
|
Memory Only |
بررسی حافظه RAM |
|
|
Portable Drive |
اسکن درایو خارجی |
|
|
YARA Scan |
اجرای فقط YARA |
|
|
IOC Scan |
فقط تحلیل IoC |
|
این حالتها به تحلیلگران اجازه میدهند مطابق با سناریوی حادثه امنیتی، اسکن هدفمند انجام دهند.
ادغام THOR با فرآیند Hunting در سازمان
برای مؤسسات بزرگ، پیشنهاد میشود THOR بهعنوان بخشی از چرخهی Threat Hunting، Incident Response و MDR (Managed Detection and Response) استفاده شود. با زمانبندی اجرای THOR در سرورهای کلیدی و بررسی نتایج در SIEM، میتوان فعالیتهای مخفی مانند:
✔️اجرای PowerShell رمزگذاریشده
Persisten✔️ از طریق Task Scheduler
✔️ارتباط با دامنههای Command & Control (C2)
را بهصورت زودهنگام شناسایی کرد.
جمعبندی
اگر با LOKI Scanner آشنایی دارید و از آن بهعنوان ابزار سبک شکار تهدید در سازمان خود استفاده می کنید، THOR گام بعدی برای ارتقای بلوغ امنیتی شماست. با استفاده از قوانین YARA پیشرفته، ادغام با SIEM و پشتیبانی حرفهای، این ابزار میتواند بخشی از هستهی عملیات امنیتی سازمان شما شود.
