项目简介
D-Eyes为绿盟科技开源的一款检测与响应工具,支持在Windows、Linux操作系统下使用...。
作为应急响应工具,支持勒索挖矿病毒及webshell等恶意样本排查检测,辅助安全工程师应急响应时排查入侵痕迹,定位恶意样本。
(TODO) 作为基线检查工具,辅助检测和排查操作系统配置缺陷;
(TODO) 作为软件供应链安全检查工具,可提取web应用程序开源组件清单(sbom),判别引入的组件风险。
目前支持的检测规则
工具使用
命令:
filescan, fs 用于扫描文件系统的命令
processcan, ps 用于扫描进程的命令
host 显示主机基本信息的命令
users 显示主机上所有用户的命令
top 显示CPU使用率前15个进程的命令
netstat 显示主机网络信息的命令
task 显示主机上所有任务的命令
autoruns 用于显示主机上所有自动运行的命令
导出主机基本信息的命令
check 命令用于检查漏洞利用情况
help, h 显示命令列表或一个命令的帮助
命令选项:
--path 值,-P 值 -P C://(仅适用于 Filescan)(默认值:“C://”)
--pid value, -p value -p 666 (仅适用于processcan。'-1'表示所有进程。) (默认值: -1)
--规则值,-r 值 -r Ransom.Wannacrypt
--线程值,-t 值 -t 1(仅适用于文件扫描)(默认值:5)
--vul value, -v value -v 1(1 用于检查 Exchange Server OWASSRF 利用)(默认值:0)
--help, -h 显示帮助(默认值:false)
1.默认扫描(默认以5个线程扫描C盘)
命令:D-Eyes fs
2.指定路径扫描(-P 参数)
单一路径扫描:D-Eyes fs -P D:\tmp
多个路径扫描:D-Eyes fs -P C:\Windows\TEMP,D:\tmp,D:\tools
3.指定线程扫描(-t 参数)
命令:D-Eyes fs -P C:\Windows\TEMP,D:\tmp -t 3
4.指定单一规则扫描(-r 参数)
命令:D-Eyes fs -P D:\tmp -t 3 -r Ransom.Wannacrypt
规则名称即将yaraRules目录下的规则去掉后缀.yar, 如:指定Ransom.Wannacrypt.yar规则,即-r Ransom.Wannacrypt。
进程扫描的结果在终端上进行提示。
1.默认扫描(默认扫描全部进程)
命令:D-Eyes ps
2.指定进程pid扫描(-p参数)
命令:D-Eyes ps -p 1234
3.指定规则扫描(-r参数)
命令:D-Eyes ps -p 1234 -r Ransom.Wannacrypt
4.检测指定外联IP的进程
可将恶意ip添加到工具目录ip.config文件当中,执行D-Eyes ps程序会自动检测是否有进程连接该IP,最后结果会输出到终端。
ip.config文件格式(换行添加即可),如:
0.0.0.0
127.0.0.1
./D-Eyes summary
目前Linux自检功能支持以下模块检测:空密码账户检测、SSH Server wrapper检测、SSH用户免密证书登录检测、主机 Sudoer检测、alias检测、Setuid检测、SSH登录爆破检测、主机Rootkit检测、主机历史命令检测、主机最近成功登录信息显示、主机计划任务内容检测、环境变量检测、系统启动服务检测、TCP Wrappers 检测、inetd配置文件检测、xinetd配置文件检测、预加载配置文件检测。
./D-Eyes sc
./D-Eyes netstat
注意事项
在D-Eyes工具目录下子目录yaraRules中,部分规则会触发杀毒软件告警,因为该目录存放的规则文件与杀软查杀规则相符,会触发杀软告警,直接加白即可,不会存在实际危害。
https://github.com/m-sec-org/d-eyes
文章来源:潇湘信安
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END