THOR de Nextron Systems: Evaluación de compromiso sin instalación de agente

6 Min. Lesezeit

Das Wichtigste in Kürze

• Angreifer bleiben im Median 11 Tage unentdeckt, bei externer Entdeckung sogar 26 Tage (Mandiant M-Trends 2025).
• THOR ist ein portables Forensik-Tool von Nextron Systems zur retrospektiven Suche nach Kompromittierungsindikatoren.
• Keine Installation nötig: THOR läuft agentenlos von USB-Stick, ohne Cloud-Anbindung.
• Mehr als 30.000 YARA-Regeln und rund 2.000 Sigma-Regeln analysieren Dateien, Speicher, Registry und Event Logs.
• THOR Lite ist kostenlos und unterstützt Analysen komprimierter Dateien sowie Integration mit YARA-Forge.

6 min de lectura

La mayoría de las soluciones de seguridad de endpoints detectan malware conocido en tiempo real. Pero, ¿qué ocurre con los ataques que ya han tenido lugar? Las amenazas avanzadas persistentes (APT) operan, según el informe Mandiant M-Trends 2025, una media de once días sin ser detectadas en redes empresariales; en caso de detección exclusivamente externa, incluso 26 días. THOR de Nextron Systems es un escáner forense portátil que examina retrospectivamente los sistemas en busca de indicios de compromiso: más de 30.000 reglas YARA y firmas, sin agente, sin instalador y sin conexión a la nube.

En resumen

• 🔒 THOR es un escáner portátil de evaluación de compromiso de Nextron Systems (Dietzenbach). No requiere instalación, no necesita agente y se ejecuta desde una memoria USB.
• ⚠️ Los atacantes permanecen, en promedio, 11 días sin ser detectados. En caso de detección externa, 26 días (Mandiant M-Trends 2025).
• 🛡️ Más de 30.000 reglas YARA y aproximadamente 2.000 reglas Sigma analizan archivos, memoria de procesos, registro del sistema (Registry) y registros de eventos (Event Logs).
• 📋 El CTO Florian Roth (@cyb3rops) es uno de los investigadores de ciberseguridad más reconocidos a nivel mundial: co-creador de Sigma, desarrollador de LOKI y yarGen.
• 🆓 THOR Lite está disponible gratuitamente para analistas individuales, incluyendo análisis de archivos comprimidos (archivos) e integración con YARA-Forge.

El problema: lo que EDR no detecta

La detección y respuesta en endpoints (Endpoint Detection and Response, EDR) protege en tiempo real. Sin embargo, los grupos APT operan de forma intencionada por debajo del umbral de detección. Utilizan técnicas «Living-off-the-Land», comprometen herramientas legítimas y dejan rastros que ningún antivirus clasifica como sospechosos. Un sistema comprometido puede funcionar de forma aparentemente normal durante meses o incluso años, mientras los atacantes exfiltran datos.

En 2014, la duración media de permanencia de los atacantes era aún de 205 días. Hoy, según el informe Mandiant M-Trends 2025, son 11 días. No obstante, esta cifra se ve distorsionada por los ataques de ransomware, en los que los atacantes se revelan ellos mismos. En los casos de espionaje mediante APT, los tiempos son claramente superiores. Precisamente aquí entra en juego la evaluación de compromiso: la búsqueda sistemática de rastros ya presentes en el sistema.

Qué hace diferente THOR

THOR no es una solución de protección en tiempo real ni un sustituto de EDR. Es un escáner forense que examina retrospectivamente los sistemas en busca de indicios de compromiso. Su ventaja decisiva: THOR se ejecuta como aplicación portátil. Sin agente, sin instalador y sin dependencias. Esto lo convierte en ideal para:

• Respuesta ante incidentes tras una sospecha
• Evaluaciones periódicas de compromiso en infraestructuras críticas
• Auditorías de debida diligencia en adquisiciones y fusiones
• Investigaciones forenses en entornos desconectados de la red (air-gapped)

Un ejemplo concreto de su capacidad: en una muestra comprometida, THOR obtuvo tres coincidencias diferentes con reglas YARA, mientras que VirusTotal informó cero detecciones. Su fortaleza radica en las reglas escritas manualmente y cuidadosamente seleccionadas, específicamente diseñadas para identificar herramientas y tácticas de APT.

«Probamos una de las muestras comprometidas. VirusTotal reportó cero detecciones. THOR la detectó con tres reglas YARA distintas».
Florian Roth, CTO de Nextron Systems (@cyb3rops, 2025)

Florian Roth: la mente detrás de THOR

Quien quiera comprender THOR debe conocer a Florian Roth. El CTO y cofundador de Nextron Systems pertenece a los investigadores de ciberseguridad más influyentes del mundo. En X (antiguamente Twitter), más de 30.000 profesionales de la seguridad informática le siguen bajo @cyb3rops. En GitHub gestiona, bajo @neo23x0, más de 155 repositorios.

Roth lleva trabajando en ciberseguridad desde 2003. Lo que lo distingue de otros es que no solo construye productos, sino que también define estándares. Sigma, el estándar abierto para reglas de detección basadas en SIEM, fue creado por Roth junto con Thomas Patzke. Sigma es hoy, bajo SigmaHQ, el estándar de facto para la detección basada en registros, reconocido por MISP y utilizado prácticamente en todos los centros de operaciones de seguridad (SOC) del mundo.

Además, Roth ha desarrollado una serie de herramientas de código abierto ampliamente utilizadas en la comunidad: LOKI (el predecesor gratuito de THOR), yarGen (generador automático de reglas YARA), FENRIR (escáner de IOC basado en Bash) y Valhalla (el feed curado de reglas YARA/Sigma de Nextron, con más de 23.000 reglas YARA y 4.400 reglas Sigma).

Arquitectura técnica de THOR

La versión estable actual, THOR 10.7 (noviembre de 2024), combina varios mecanismos de detección:

Escaneo YARA: Más de 30.000 reglas YARA escritas manualmente y cuidadosamente seleccionadas analizan archivos, memoria de procesos y entradas del registro del sistema (Registry) en busca de firmas conocidas de malware y herramientas APT. Estas reglas provienen de la investigación interna de Nextron y del feed Valhalla.

Reglas Sigma: Aproximadamente 2.000 reglas Sigma examinan los registros de eventos de Windows (Windows Event Logs) en busca de patrones sospechosos. Sigma es el estándar abierto para la detección basada en registros.

Detección de anomalías: THOR identifica patrones sospechosos como nombres de archivo inusuales en directorios del sistema, extensiones de archivo duplicadas o flujos alternativos de datos ocultos (Alternate Data Streams, ADS).

Coincidencia de IOC: Hashes, nombres de dominio y direcciones IP se comparan contra feeds actuales de inteligencia sobre amenazas.

Novedad en la versión 10.7: Escaneo de archivos mapeados en memoria (Memory-Mapped File Scanning) para escaneos más rápidos y menor carga de E/S, salida JSON v2 para una mejor integración con SIEM y selectores de inicio (Init Selectors) para escaneos específicos de campañas.

THOR Lite frente a THOR Full

Nextron ofrece con THOR Lite una versión gratuita dirigida a analistas individuales. Desde 2025, THOR Lite incluye también el análisis de archivos comprimidos (docx, xlsx, jar, war) e integra el catálogo de reglas YARA-Forge, con más de 11.000 reglas públicas.

La versión completa, THOR 10, va dirigida a empresas y proveedores gestionados de servicios de seguridad (MSSP). Ofrece gestión centralizada mediante ASGARD Management Center, escaneos automatizados, conjuntos de reglas ampliados y la integración con Velociraptor para realizar escaneos paralelos en cientos de sistemas. Los resultados de THOR se exportan en formato JSON, CSV o informe HTML, y pueden integrarse en sistemas SIEM como Splunk, Elastic y QRadar.

Preguntas frecuentes

¿Sustituye THOR un sistema EDR?

No. THOR y EDR se complementan. EDR protege en tiempo real y detecta ataques en curso. THOR encuentra rastros de compromisos anteriores que pasaron desapercibidos para el sistema EDR. En la práctica, THOR se utiliza tras una sospecha o como evaluación periódica para asegurarse de que ningún atacante opera sin ser detectado en la red.

¿Cuánto tiempo dura un escaneo con THOR?

Depende del sistema y de la configuración, entre 30 minutos y varias horas. Un servidor Windows típico se escanea en 60 a 90 minutos. Con ASGARD Management Center y Velociraptor es posible escanear cientos de sistemas de forma paralela.

¿Cuál es la diferencia entre THOR Lite y THOR Full?

THOR Lite es gratuito para analistas individuales e incluye análisis de archivos comprimidos y reglas de YARA-Forge. La versión completa THOR 10 ofrece gestión centralizada (ASGARD), escaneos automatizados, conjuntos de reglas ampliados del feed Valhalla y la posibilidad de ejecutar escaneos en cientos de sistemas de forma paralela mediante Velociraptor.

¿Qué es Sigma y por qué resulta relevante para los operadores de SIEM?

Sigma es un estándar abierto para reglas de detección basadas en registros, co-desarrollado por Florian Roth y Thomas Patzke. Las reglas Sigma pueden traducirse a diversos lenguajes de consulta de SIEM (Splunk, Elastic, QRadar, Microsoft Sentinel). Los equipos SOC pueden así escribir y compartir lógica de detección independiente del fabricante.

¿Es THOR relevante para empresas de infraestructuras críticas (KRITIS) bajo NIS2?

Sí. NIS2 (vigente en Alemania desde diciembre de 2025) exige a las entidades afectadas medidas técnicas adecuadas para la detección de incidentes de seguridad. Las evaluaciones periódicas de compromiso con herramientas como THOR pueden formar parte de una estrategia de detección conforme a NIS2, especialmente en entornos air-gapped o KRITIS, donde las soluciones EDR basadas en la nube no son aplicables.

Fuente de imagen: Pexels / MART PRODUCTION

Mehr aus dem MBF Media Netzwerk

cloudmagazin | MyBusinessFuture | Digital Chiefs

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor Tobias Massow