THOR von Nextron Systems: Compromise Assessment ohne Agent

6 Min. Lesezeit

Die meisten Endpoint-Security-Lösungen erkennen bekannte Malware in Echtzeit. Doch was passiert mit Angriffen, die bereits stattgefunden haben? Advanced Persistent Threats operieren laut Mandiant M-Trends 2025 im Schnitt elf Tage unentdeckt in Unternehmensnetzwerken, bei rein externer Erkennung sogar 26 Tage. THOR von Nextron Systems ist ein portabler forensischer Scanner, der Systeme nachträglich auf Kompromittierungsspuren prüft: über 30.000 YARA-Regeln und Signaturen, kein Agent, kein Installer, keine Cloud-Anbindung.

Das Wichtigste in Kürze

• THOR ist ein portabler Compromise-Assessment-Scanner von Nextron Systems (Dietzenbach). Keine Installation, kein Agent, läuft vom USB-Stick.
• ️ Angreifer bleiben im Schnitt 11 Tage unentdeckt. Bei externer Erkennung 26 Tage (Mandiant M-Trends 2025).
• ️ Über 30.000 YARA-Regeln und rund 2.000 Sigma-Regeln prüfen Dateien, Prozessspeicher, Registry und Event Logs.
• CTO Florian Roth (@cyb3rops) ist einer der bekanntesten Security-Researcher weltweit: Co-Creator von Sigma, Entwickler von LOKI und yarGen.
• 🆓 THOR Lite ist kostenlos für individuelle Analysten verfügbar, inklusive Archive-Scanning und YARA-Forge-Integration.

Was ist Compromise assessment ohne agent?

Compromise assessment ohne agent ist 2023 ein konkreter Hebel für Unternehmen, weil das Thema direkt über Cyberresilienz, Security-Operations und regulatorische Pflichten entscheidet. Der Beitrag zeigt am Beispiel von synaforce, welche Anforderungen, Kennzahlen und operativen Schritte in der Praxis zählen.

Das Problem: Was EDR nicht findet

Endpoint Detection and Response schützt in Echtzeit. Aber APT-Gruppen operieren gezielt unterhalb der Erkennungsschwelle. Sie nutzen Living-off-the-Land-Techniken, kompromittieren legitime Tools und hinterlassen Spuren, die kein Virenscanner als verdächtig einstuft. Ein kompromittiertes System kann monate- oder jahrelang unauffällig laufen, während Angreifer Daten exfiltrieren.

2014 lag die mediane Verweildauer von Angreifern noch bei 205 Tagen. Heute sind es laut Mandiant M-Trends 2025 elf Tage. Doch diese Zahl wird durch Ransomware verzerrt, bei der sich Angreifer selbst zu erkennen geben. Bei Spionage-APTs liegen die Zeiten deutlich höher. Genau hier setzt Compromise Assessment an: die systematische Suche nach Spuren, die bereits im System sind.

Was THOR anders macht

THOR ist kein Echtzeit-Schutz und kein EDR-Ersatz. Es ist ein forensischer Scanner, der Systeme nachträglich auf Kompromittierungsspuren untersucht. Der entscheidende Vorteil: THOR läuft als portable Anwendung. Kein Agent, kein Installer, keine Abhängigkeiten. Das macht es ideal für:

• Incident Response nach einem Verdachtsfall
• Regelmäßige Compromise Assessments in kritischen Infrastrukturen
• Due-Diligence-Prüfungen bei Übernahmen und Fusionen
• Forensische Untersuchungen in Air-Gapped-Umgebungen

Ein konkretes Beispiel für die Leistungsfähigkeit: Bei einem kompromittierten Sample erzielte THOR drei verschiedene YARA-Treffer, während VirusTotal null Detektionen meldete. Die Stärke liegt in den handgeschriebenen, kuratierten Regeln, die gezielt auf APT-Werkzeuge und Taktiken zugeschnitten sind.

„We tested one of the compromised samples. Zero detections on VirusTotal. Detected by THOR with three different YARA rules.“
Florian Roth, CTO Nextron Systems (@cyb3rops, 2025)

Florian Roth: Der Kopf hinter THOR

Wer THOR verstehen will, muss Florian Roth kennen. Der CTO und Mitgeschäftsführer von Nextron Systems gehört zu den einflussreichsten Security-Researchern weltweit. Auf X (ehemals Twitter) folgen ihm unter @cyb3rops über 30.000 Fachleute aus der IT-Security-Community. Auf GitHub betreibt er unter @neo23x0 über 155 Repositories.

Roth arbeitet seit 2003 in der IT-Security. Was ihn von anderen unterscheidet: Er baut nicht nur Produkte, sondern definiert Standards. Sigma, der offene Standard für SIEM-basierte Erkennungsregeln, wurde von Roth zusammen mit Thomas Patzke ins Leben gerufen. Sigma ist heute unter SigmaHQ der De-facto-Standard für Log-basierte Erkennung, anerkannt von MISP und eingesetzt in praktisch jedem SOC weltweit.

Daneben entwickelte Roth eine Reihe von Open-Source-Werkzeugen, die in der Community breit eingesetzt werden: LOKI (der kostenlose Vorgänger von THOR), yarGen (automatisierter YARA-Regel-Generator), FENRIR (Bash-basierter IOC-Scanner) und Valhalla (Nextrons kuratierter YARA/Sigma-Rule-Feed mit über 23.000 YARA-Regeln und 4.400 Sigma-Regeln).

Technische Architektur von THOR

Die aktuelle stabile Version THOR 10.7 (November 2024) kombiniert mehrere Erkennungsmechanismen:

YARA-Scanning: Über 30.000 handkuratierte YARA-Regeln prüfen Dateien, Prozessspeicher und Registry-Einträge auf bekannte Malware-Signaturen und APT-Werkzeuge. Die Regeln stammen aus Nextrons eigenem Research und dem Valhalla-Feed.

Sigma-Regeln: Rund 2.000 Sigma-Regeln prüfen Windows Event Logs auf verdächtige Muster. Sigma ist der offene Standard für log-basierte Erkennung.

Anomalie-Erkennung: THOR identifiziert verdächtige Muster wie ungewöhnliche Dateinamen in Systemverzeichnissen, doppelte Dateiendungen oder versteckte Alternate Data Streams (ADS).

IOC-Matching: Hashes, Domainnamen und IP-Adressen werden gegen aktuelle Threat-Intelligence-Feeds abgeglichen.

Neu in Version 10.7: Memory-Mapped File Scanning für schnellere Scans bei weniger I/O, JSON v2 Output für bessere SIEM-Integration und Init Selectors für kampagnenspezifische Scans.

THOR Lite vs. THOR Full

Nextron bietet mit THOR Lite eine kostenlose Version für individuelle Analysten. Seit 2025 enthält THOR Lite auch Archive-Scanning (docx, xlsx, jar, war) und integriert den YARA-Forge-Regelkatalog mit über 11.000 öffentlichen Regeln.

Die Vollversion THOR 10 richtet sich an Unternehmen und MSSPs. Sie bietet zentrale Verwaltung über ASGARD Management Center, automatisierte Scans, erweiterte Regelsets und die Integration in Velociraptor für parallele Scans auf Hunderten von Systemen. THOR-Ergebnisse werden als JSON, CSV oder HTML-Report ausgegeben und lassen sich in SIEM-Systeme wie Splunk, Elastic und QRadar integrieren.

Häufige Fragen

Ersetzt THOR ein EDR-System?

Nein. THOR und EDR ergänzen sich. EDR schützt in Echtzeit und erkennt laufende Angriffe. THOR findet Spuren vergangener Kompromittierungen, die dem EDR entgangen sind. In der Praxis wird THOR nach einem Verdachtsfall oder als regelmäßiges Assessment eingesetzt, um sicherzustellen, dass kein Angreifer unentdeckt im Netzwerk operiert.

Wie lange dauert ein THOR-Scan?

Je nach System und Konfiguration zwischen 30 Minuten und mehreren Stunden. Ein typischer Windows-Server wird in 60 bis 90 Minuten durchgescannt. Mit ASGARD Management Center und Velociraptor lassen sich Hunderte Systeme parallel scannen.

Was ist der Unterschied zwischen THOR Lite und THOR Full?

THOR Lite ist kostenlos für individuelle Analysten und enthält Archive-Scanning sowie YARA-Forge-Regeln. Die Vollversion THOR 10 bietet zentrale Verwaltung (ASGARD), automatisierte Scans, erweiterte Regelsets aus dem Valhalla-Feed und die Möglichkeit, Scans über Velociraptor auf Hunderten Systemen parallel auszuführen.

Was ist Sigma und warum ist es für SIEM-Betreiber relevant?

Sigma ist ein offener Standard für log-basierte Erkennungsregeln, co-entwickelt von Florian Roth und Thomas Patzke. Sigma-Regeln lassen sich in verschiedene SIEM-Abfragesprachen übersetzen (Splunk, Elastic, QRadar, Microsoft Sentinel). SOC-Teams können damit herstellerunabhängige Erkennungslogik schreiben und teilen.

Ist THOR für KRITIS-Unternehmen unter NIS2 relevant?

Ja. NIS2 (seit Dezember 2025 in Deutschland in Kraft) verlangt von betroffenen Einrichtungen angemessene technische Maßnahmen zur Erkennung von Sicherheitsvorfällen. Regelmäßige Compromise Assessments mit Tools wie THOR können Teil einer NIS2-konformen Erkennungsstrategie sein, besonders in Air-Gapped- oder KRITIS-Umgebungen, in denen cloudbasierte EDR-Lösungen nicht einsetzbar sind.

Quelle Titelbild: Pexels / MART PRODUCTION

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor Tobias Massow