Trawler是一款功能强大的PowerShell脚本,可以帮助广大安全研究人员和事件应急响应人员在目标Windows主机上发现潜在的入侵威胁指标IoC,该工具主要针对的是攻击者所部署的持久化机制,其中包括计划任务、服务、注册表修改、启动项和二进制代码修改等。
当前版本的Trawler支持检测MITRE和Atomic红队提出的绝大多数持久化感染技术,后续将会添加更多的持久化技术检测方案。
功能介绍
1、支持扫描Windows操作系统中的各种持久性技术; 2、带有MITRE Technique和 Investigation Jumpstart Metadata数据的CSV输出; 3、提供了安全分析和缓解方案指导文档; 4、每一次检测都会引入动态风险分配机制; 5、适用于Windows 10/Server 2012 | 2016 | 2019 | 2022常见Windows配置的内置允许列表,以减少噪音; 6、支持从企业环境镜像(快照)中捕捉持久化元数据,以便在运行时用作动态允许列表; 7、通过驱动器重新定位分析装载的磁盘镜像。
工具下载
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
代码语言:javascript复制git clone https://github.com/joeavanzato/Trawler.git命令行接口CLI参数
代码语言:javascript复制-scanoptions:用Tab键浏览可能的检测,并使用逗号分隔的术语选择子集(例如.travers.ps1-scanoptions Services,Processes);
-quiet:将检测输出结果简化后打印到命令行终端;
-snapshot:捕获当前系统的“持久性快照”,默认为“$PSScriptRootsnapshot.csv”;
-snapshotpath:定义存储快照的文件路径;
-outpath:定义存储检测输出结果的自定义文件路径,默认为"$PSScriptRootdetections.csv";
-loadsnapshot:定义要加载为allow-list引用的现有快照文件路径;
-drivetarget:定义已安装目标驱动器的变量,例如.trawler.ps1 -targetdrive "D:"(向右滑动,查看更多)
代码语言:javascript复制工具使用
广大研究人员可以直接以管理员权限运行PowerShell终端,并运行下列one-liner即可:
代码语言:javascript复制iex ((New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/joeavanzato/Trawler/main/trawler.ps1'))(向右滑动,查看更多)
工具运行截图
许可证协议
本项目的开发与发布遵循MIT开源许可证协议。
