APT-Hunter是Windows事件日志的威胁猎杀工具,它由紫色的团队思想提供检测隐藏在海量的Windows事件日志中的APT运动,以减少发现可疑活动的时间,而不需要有复杂的解决方案来解析和检测Windows事件日志中的攻击,如SIEM解决方案和日志收集器。
许多分析师忽略了windows事件日志或不知道在哪里搜索可疑的活动,他们大多不知道什么事件日志收集的情况下,攻击.我作为安全专家在SOC环境中的工作,我们提供威胁狩猎,事件响应和取证调查给我们的客户。通常情况下,客户没有SIEM或日志收集器的解决方案,这使得它真的很难收集的Windows事件日志,将它们上传到(SIEM解决方案 , 解析数据 , 开始搜索,以发现任何妥协的迹象,使用搜索,你必须记住他们,为了不错过任何东西),如果你有许可证,但如果你不这样做,那么你是在你自己的享受提取CSV从evtx文件,并开始寻找事件的表与数百万的事件 . 此外,如果你在网上搜索没有多少开源工具来分析windows事件日志和许多分析师变得懒惰,只依靠其他取证来源,以发现系统妥协。
APT-Hunter有两个部分共同工作,帮助用户快速获得他想要的数据。这个工具将用于加速windows日志分析,但永远不会取代深度日志分析。
- 收集日志:用户可以手动收集CSV和EVTX格式的日志,或者使用本文后面讨论的powershell脚本来自动提取所需的日志。
- 分析CSV日志:APT-hunter使用内置库(csv)来解析CSV日志文件,然后使用Regex为APT-hunter中使用的每个事件提取字段。
- 分析EVTX日志:APT-hunter使用外部库(evtx)来解析EVTX日志文件,然后使用Regex为APT-Hunter中使用的每一个事件提取字段,用户可以使用提取的字段来创建他们的用例。
- 分析的日志: (Sysmon, Security, System, Powershell, Powershell_Operational, ScheduledTask, WinRM, TerminalServices, Windows_Defender)
如何使用
要做的第一件事是收集日志(如果没有收集日志),并且使用powershell日志收集器可以轻松地自动收集所需的日志,而您只需以管理员身份运行powershell脚本即可。
代码语言:javascript复制要以EVTX格式收集日志,请使用:windows-log-collector-full-v3-EVTX.ps1
要收集CSV格式的日志,请使用:windows-log-collector-full-v3-CSV.ps1APT-Hunter使用python3构建,因此要使用该工具,您需要安装所需的库。
代码语言:javascript复制python3 -m pip install -r Requirements.txt APT-Hunter易于使用,您只需使用参数-h即可打印帮助以查看所需的选项
-p:
提供包含使用powershell日志收集器提取的目录的路径(Windows-log-collector-full-v3-CSV.ps1,Windows-log-collector-full-v3-EVTX.ps1)
-o:
将在生成的输出表中使用的项目的名称
-t:
日志类型(如果是CSV或EVTX)
剩余的参数,如果您想分析单一类型的日志。
范例:
代码语言:javascript复制#python3 APT-Hunter.py -t evtx -p /opt/wineventlogs/ -o Project1
#python3 APT-Hunter.py -t csv -p /opt/wineventlogs/ -o Project1
#python3 APT-Hunter.py -t evtx --security evtx/security.evtx -o Project2结果将分两页显示:
代码语言:javascript复制Project1_Report.xlsx:此excel工作表将包括从提供给APT-Hunter的每个Windows日志中检测到的所有事件
Project1_TimeSketch.csv:您可以将此CSV文件上传到timeketch,以便进行时间轴分析,以帮助您了解攻击的全貌
终端服务的统计信息,以使用户可以交互访问或使用RDP访问服务器GUI终端
成功/失败身份验证的统计信息,以便获得身份验证摘要,以帮助您检测异常或不应该登录设备的用户
APT-Hunter检测到的事件
- [T1086]使用sysmon日志检测带有可疑参数的Powershell
- [T1543]检测操作Windows服务的Sc.exe
- [T1059]检测wscript或cscript运行脚本
- [T1218.005]检测到系统中正在运行的Mshta
- [T1053]检测计划任务操作
- [T1047]使用WMI远程运行命令
- [T1082]系统信息发现
- [T1117]使用Regsvr32绕过应用程序白名单
- 禁止进程连接到互联网
- 检测系统中正在运行的Psexec
- 检测到禁止连接到互联网的进程
- 检测Exchange Web服务利用,例如(CVE-2020-0688)
- 使用安全日志检测密码喷雾攻击
- 使用安全日志检测通过哈希攻击
- 使用安全日志检测可疑的枚举用户或组的尝试
- 使用Powershell操作日志检测Powershell操作(包括TEMP文件夹)
- 使用Powershell操作日志使用多个事件ID检测可疑的Powershell命令
- 使用Powershell日志使用多个事件ID检测可疑的Powershell命令
- 使用终端服务日志从袜子代理检测连接的RDP
- 使用终端服务日志从公共IP检测连接的RDP
- 从计算机Powershell远程处理中使用WinRM启动检测连接
- 使用WinRM启动连接以对Powershell远程计算机进行检测
- 使用安全日志使用Net命令检测用户创建
- 使用安全日志检测在可疑位置运行的进程
- 使用安全日志使用令牌提升检测特权提升
- 使用安全日志检测可运行的可执行文件
- 使用安全日志检测可疑的Powershell命令
- 使用安全日志检测通过管理界面创建的用户
- 使用安全日志检测Windows关闭事件
- 使用安全日志检测添加到本地组的用户
- 使用安全日志检测用户添加到全局组的用户
- 使用安全日志检测用户添加的用户到通用组
- 使用安全日志检测从全局组中删除的用户
- 使用安全日志检测从通用组中删除的用户
- 使用安全日志检测从本地组中删除的用户
- 使用安全日志检测从全局组中删除的用户
- 检测使用安全日志删除的用户帐户
- 检测到的审计日志已清除。
- 使用安全日志检测系统审核策略更改
- 使用安全日志检测计划的任务创建
- 使用安全日志检测计划的任务删除
- 使用安全日志检测计划的任务更新
- 使用安全日志检测启用的计划任务
- 使用安全日志检测禁用的计划任务
- 检测Windows Defender使用Windows Defender日志对恶意软件采取了措施
- 检测Windows Defender无法使用Windows Defender日志对恶意软件采取措施
- 使用Windows Defender日志检测Windows Defender发现的恶意软件
- 使用Windows Defender日志检测Windows Defender删除的恶意软件历史记录
- 检测Windows Defender检测到可疑行为使用Windows Defender日志的恶意软件
- 使用Windows Defender日志检测禁用的Windows Defender实时保护
- 使用Windows Defender日志检测Windows Defender实时保护配置已更改
- 使用Windows Defender日志禁用检测Windows Defender扫描的恶意软件
- 检测使用计划任务日志注册的计划任务
- 检测使用计划任务日志更新的计划任务
- 检测使用计划任务日志删除的计划任务
- 检测使用系统日志清除的系统日志
- 使用系统日志检测TEMP文件夹中安装有可执行文件的服务
- 使用系统日志检测系统中安装的服务
- 使用系统日志检测服务启动类型已更改
- 使用系统日志检测服务状态已更改
