Siber güvenlik olaylarını tespit etmek ve kötü amaçlı yazılımları analiz etmek için kullanılan en etkili araçlardan biri Loki’dir. Açık kaynaklı bir IOC (Indicator of Compromise) tarayıcısı olan Loki, şüpheli dosyaları, işlemleri ve ağ bağlantılarını analiz ederek güvenlik tehditlerini belirler.
Bu yazıda aşağıdaki konularını ele alacağız.
Loki nedir ve nasıl çalışır?
Windows, Linux ve macOS için kurulum ve kullanım rehberi
Detaylı kullanım parametreleri (--intense, --quick, --noprocscan)
Şüpheli IP adresleri, domainler ve ağ trafiği analiz araçları
Loki’nin bildirim seviyeleri (NOTICE, WARNING, ALERT) ve nasıl yorumlanacağı
VirusTotal entegrasyonu ve hash karşılaştırma
IOC (Indicator of Compromise) Nedir?
IOC (Güvenlik İhlali Göstergeleri), bir sistemin siber saldırıya uğradığını gösteren belirteçlerdir.
IOC türleri:
- Dosya hash’leri (SHA256, MD5) ✅ Loki tarafından desteklenir
- Şüpheli IP adresleri ve domainler 🚫 Loki desteklemez
- Kötü amaçlı süreçler ve kayıt defteri değişiklikleri (Windows) ✅ Loki tarafından desteklenir
- Anormal ağ trafiği ve şüpheli bağlantılar 🚫 Loki desteklemez
Şüpheli IP adresleri ve ağ trafiği analizi için alternatif açık kaynaklı araçlar bu makalenin ilerleyen bölümlerinde anlatılacaktır.
Loki Nasıl Kullanılır?
Loki, Windows, Linux ve macOS işletim sistemlerinde çalışabilir. Python ile manuel çalıştırılabileceği gibi, Windows için doğrudan çalıştırılabilir bir .exe sürümü de bulunmaktadır.
Windows’ta Loki Kullanımı
Loki’yi İndirme (Windows .exe)
Python ile uğraşmak istemiyorsanız, GitHub Releases sayfasından Loki’nin doğrudan çalıştırılabilir .exe dosyasını indirebilirsiniz.
🔗 İndirme Bağlantısı:
➡ Loki Windows EXE (Son Sürüm)
İndirdiğiniz ZIP dosyasını çıkarın ve içine girin.
Loki’yi Çalıştırma
Komut İstemcisi’ni (CMD) açın ve Loki dizinine gidin:
cd C:\Users\Kullanici\Downloads\Loki
loki.exe
Belirli bir klasörü taramak için:
loki.exe -p C:\Users\Kullanici\Belgeler
Linux ve macOS’ta Loki Kullanımı
Loki’yi İndirme ve Kurulum
git clone https://github.com/Neo23x0/Loki.git
cd LokiPython 3 yüklü değilse yükleyin:
sudo apt install python3Loki’yi Çalıştırma
python3 loki.pyBelirli bir klasörü taramak için:
python3 loki.py -p ~/DownloadsSistemi tamamen taramak için:
sudo python3 loki.pyGelişmiş Loki Kullanım Parametreleri
| Parametre | Açıklama | Komut |
|---|---|---|
| Yoğun Tarama | Daha derinlemesine bir analiz yapar. | python3 loki.py --intense |
| Hızlı Tarama | Daha hızlı ama yüzeysel bir tarama yapar. | python3 loki.py --quick |
| Sadece Bellek Taraması | Dosya taraması yapmadan bellek analizi. | python3 loki.py --noprocscan |
| Özel YARA Kuralları | Kullanıcı tanımlı Yara kurallarını kullanır. | python3 loki.py -y /path/to/rules/ |
| Log Kaydı | Tespit edilen tehditleri log dosyasına yazdırır. | python3 loki.py -l loki.log |
Loki Bildirim Seviyeleri ve Anlamları
Loki, IOC tarama sırasında üç farklı seviyede bildirim üretir:
| Bildirim Türü | Öncelik | Anlamı | Ne Yapmalısınız? |
|---|---|---|---|
| 🟡 NOTICE | Düşük | Şüpheli ama kesin kanıt yok. Masum bir dosya olabilir. | Dosyayı inceleyin ama hemen bir işlem yapmanız gerekmeyebilir. |
| 🟠 WARNING | Orta | Potansiyel olarak zararlı bir öğe bulundu. | Daha fazla araştırma yapın. VirusTotal gibi servislerle doğrulayın. |
| 🔴 ALERT | Yüksek | Zararlı dosya veya süreç tespit edildi! | Hemen izole edin, süreci durdurun ve detaylı analiz yapın! |
🟡 NOTICE (Düşük Öncelik) – Bilgi Amaçlı Uyarılar
NOTICE seviyesi, belirli bir dosyanın veya sürecin şüpheli olduğunu, ancak kesin bir tehdit olmadığını gösterir.
Örnek NOTICE bildirimi:
[NOTICE] File C:\Users\Public\example.dll matches Yara rule "Suspicious_Library_Load"
📌 Ne anlama gelir?
- Bu, belirli bir YARA kuralıyla eşleşen bir dosya içeriyor ama kötü amaçlı olduğu kesin değil.
- Örneğin, bir sistem DLL dosyası zararlı yazılımların kullandığı bir fonksiyon içeriyor olabilir, ancak aslında masum olabilir.
Ne yapmalısınız?
Dosyanın hash’ini alın ve VirusTotal’de sorgulayın.
Eğer VirusTotal’de zararlı olarak işaretlenmemişse, muhtemelen güvenlidir.
Linux hash alma:
sha256sum /home/user/example.dll
Windows hash alma:
Get-FileHash C:\Users\Public\example.dll -Algorithm SHA256
Hash’i aldıktan sonra VirusTotal üzerinde sorgulayabilirsiniz.
🟠 WARNING (Orta Öncelik) – Potansiyel Tehditler
WARNING seviyesi, Loki’nin potansiyel olarak zararlı bir dosya veya süreç bulduğu anlamına gelir.
Örnek WARNING bildirimi:
[WARNING] Process "powershell.exe" contains suspicious command "Invoke-WebRequest -Uri http://malicious-site.com"
📌 Ne anlama gelir?
- PowerShell süreci, şüpheli bir komut çalıştırıyor.
- Örneğin, bir script zararlı bir IP adresine bağlantı kurmaya çalışıyor olabilir.
📌 Ne yapmalısınız?
✅ Çalışan süreçleri inceleyin:
Windows için:
Get-Process | Where-Object {$_.ProcessName -eq "powershell"}Linux için:
ps aux | grep suspicious_process✅ Bağlantı kurduğu IP adresini kontrol edin:
netstat -ano | findstr :80Eğer sürecin bilinmeyen bir IP adresiyle iletişim kurduğunu görüyorsanız, büyük ihtimalle zararlıdır!
🔴 ALERT (Yüksek Öncelik) – Ciddi Güvenlik Tehdidi!
ALERT seviyesi, Loki’nin kesinlikle zararlı bir şey tespit ettiğini gösterir!
Örnek ALERT bildirimi:
[ALERT] Found file C:\Users\Public\malware.exe with known malware hash!
📌 Ne anlama gelir?
- Bu dosya bilinen bir kötü amaçlı yazılımın hash’iyle eşleşiyor!
- Loki’nin veritabanında bu dosyanın kötü amaçlı olduğu onaylanmış.
📌 Ne yapmalısınız?
Dosyayı hemen karantinaya alın!
Windows için:
Move-Item -Path C:\Users\Public\malware.exe -Destination C:\Quarantine
Linux için:
mv /home/user/malware.exe /home/user/quarantine/
İşlemi sonlandırın:
Windows:
Stop-Process -Name "malware.exe" -Force
Linux:
kill -9 $(pgrep malware)
Antivirüs veya VirusTotal ile doğrulama yapın.
Eğer VirusTotal’de çok sayıda güvenlik aracı bu dosyayı zararlı olarak işaretlemişse, sisteminiz tehlikede olabilir!
Unutmayın:
- Loki otomatik bir antivirüs değildir, sadece IOC taraması yapar!
- Yanlış pozitifler (false positive) olabilir, yani bazı masum dosyalar da yanlışlıkla şüpheli görünebilir.
- VirusTotal, hash analizi ve işlem yönetimiyle destekleyerek en doğru sonuca ulaşabilirsiniz!
📌 İlgili Konu: Daha önce yazdığımız Ağ Tabanlı IOC Tespiti makalesine göz atabilirsiniz.