Thor ist ein kommerzielles Produkt der Firma Nextron Systems. Diese Kategorie behandelt ausschließlich die kostenlose Community Edition Thor-Lite. Diese Version ist gegenüber der kostenpflichtigen Version Thor im Funktionsumfang eingeschränkt.
THOR (bzw. THOR-Lite) ist ein leistungsstarker Threat Detection Scanner, der sich auf die Analyse von Dateien, Speicherinhalten und Systemartefakten konzentriert. Er kombiniert statische und heuristische Analyseverfahren mit einer umfangreichen Regelbasis, einschließlich YARA- und Sigma-Regeln, um verdächtige Aktivitäten oder bekannte Indicators of Compromise (IoC) zu erkennen. THOR wird in erster Linie in den Bereichen Incident Response und Threat Hunting eingesetzt, um kompromittierte Systeme zu identifizieren und potenzielle Bedrohungen frühzeitig zu erkennen.
YARA-Regeln sind textbasierte Definitionen zur Erkennung von Malware und anderen verdächtigen Dateien oder Aktivitäten auf Basis vordefinierter Muster. Sie ermöglichen die Erstellung flexibler Suchregeln, die Zeichenketten, binäre Muster oder logische Bedingungen enthalten, um Bedrohungen zu identifizieren. YARA wird häufig in der forensischen Analyse und Threat Hunting eingesetzt, da es den Sicherheitsanalysten ermöglicht, gezielt nach bekannten oder verdächtigen Bedrohungen zu suchen.
Sigma-Regeln sind standardisierte, auf YAML basierende Regeln zur Erkennung verdächtiger Aktivitäten in Log-Dateien. Sie dienen als eine Art SIEM-Suchsprache, mit der Sicherheitsanalysten verdächtige Muster in Protokolldaten identifizieren können, unabhängig von der verwendeten SIEM- oder Log-Management-Plattform. Sigma ermöglicht eine flexible und herstellerunabhängige Bedrohungserkennung, indem es verdächtige Ereignisse wie fehlgeschlagene Anmeldeversuche oder ungewöhnliche Prozessstarts beschreibt.
Indicators of Compromise (IoC) sind forensische Spuren, die auf eine mögliche Sicherheitsverletzung oder einen Angriff in einem IT-System hinweisen. Dazu gehören ungewöhnliche Dateien, verdächtige IP-Adressen, bekannte Hash-Werte schädlicher Dateien, anomale Netzwerkverbindungen oder verdächtige Prozesse. Sicherheitslösungen und Threat-Hunting-Tools wie THOR oder SIEM-Systeme nutzen IoCs, um Angriffe frühzeitig zu erkennen und bei Einsatz eines SIEM-Systems entsprechend automatisch zu reagieren.
Licence Key
THOR-Lite benötigt auch in der Community Edition einen Licence Key, der auf der Website von Nextron Systems nach einer Registrierung angefordert werden kann. Der Lizenzschlüssel ist sechs Monate gültig und hat das Format thor-lite-<id>.lic. Es erfolgt keine Benachrichtigung bei ablaufenden Schlüsseln. Der Schlüssel wird im Programmverzeichnis von THOR abgelegt. THOR prüft dann bei jedem Start das Vorhandensein einer solchen Schlüsseldatei und überprüft deren Gültigkeit.
Deaktivierte Module und Features in THOR-Lite
THOR-Lite bietet nur einen sehr eingeschränkten Funktionsumfang. Die Liste der deaktivierten Features und Module wird bei jedem Start in der Eingabeaufforderung und in der Textdatei mit den Scan-Ergebnissen angezeigt. Folgende Features und Module sind derzeit betroffen:
Disabling feature SHIMCache due to Lite version
Disabling feature WER due to Lite version
Disabling feature ArchiveScan due to Lite version
Disabling feature AuthorizedKeys due to Lite version
Disabling feature DoublePulsar due to Lite version
Disabling feature GroupsXML due to Lite version
Disabling feature Logger due to Lite version
Disabling feature MagicHeader due to Lite version
Disabling feature Amcache due to Lite version
Disabling feature Bifrost2 due to Lite version
Disabling feature TeamViewer due to Lite version
Disabling feature VulnerabilityCheck due to Lite version
Disabling feature WorkerProgressTracker due to Lite version
Disabling feature RecycleBin due to Lite version
Disabling feature Stix due to Lite version
Disabling feature VirusTotal due to Lite version
Disabling feature WMIPersistence due to Lite version
Disabling feature BulkScan due to Lite version
Disabling feature SignalHandler due to Lite version
Disabling feature Sigma due to Lite version
Disabling feature Auditlog due to Lite version
Disabling feature EVTX due to Lite version
Disabling feature Prefetch due to Lite version
Disabling feature CronParser due to Lite version
Disabling feature ProgressTracker due to Lite version
Disabling feature Archive due to Lite version
Disabling feature AtJobs due to Lite version
Disabling feature Lnk due to Lite version
Disabling feature OLE due to Lite version
Disabling feature RegistryHive due to Lite version
Disabling feature WebdirScan due to Lite version
Disabling feature Eml due to Lite version
Disabling feature ExeDecompress due to Lite version
Disabling module NetworkShares due to Lite version
Disabling module Users due to Lite version
Disabling module Hosts due to Lite version
Disabling module HotfixCheck due to Lite version
Disabling module Timestomp due to Lite version
Disabling module EnvCheck due to Lite version
Disabling module Mutex due to Lite version
Disabling module Pipes due to Lite version
Disabling module SHIMCache due to Lite version
Disabling module WMIStartup due to Lite version
Disabling module NetworkSessions due to Lite version
Disabling module DNSCache due to Lite version
Disabling module EtwWatcher due to Lite version
Disabling module LSASessions due to Lite version
Disabling module RegistryChecks due to Lite version
Disabling module Rootkit due to Lite version
Disabling module Eventlog due to Lite version
Disabling module Firewall due to Lite version
Disabling module ScheduledTasks due to Lite version
Disabling module UserDir due to Lite version
Disabling module AtJobs due to Lite version
Disabling module Events due to Lite version
Disabling module LoggedIn due to Lite version
Disabling module ServiceCheck due to Lite version
