Whids:一款针对Windows操作系统的开源EDR
2022-11-11 20:7:19 Author: FreeBuf(查看原文) 阅读量:28 收藏

 关于Whids 

Whids是一款针对Windows操作系统的开源EDR,该工具所实现的检测引擎基于先前的Gene项目构建,并专门设计可以根据用户定义的规则匹配Windows事件。

 功能特性

1、为社区提供一款功能强大且开源的Windows EDR;

2、支持检测规则透明化,允许分析人员了解规则被触发的原因;

3、通过灵活的规则引擎提供强大的检测原语;

4、通过大幅缩短检测和数据收集之间的时间来优化事件响应流程;

5、支持整合ATT&CK框架;

6、可以与任何防病毒产品共存(建议与MS Defender一起运行);

7、有一个强大的管理API来简化大型部署的管理(目前还没有GUI);

8、提供了非常强大且可定制的检测引擎;

9、专为高吞吐量而设计;

10、易于与其他工具集成(Splunk、ELK、MISP…);

 工具架构 

注意:EDR代理可以单独运行(可以不用跟EDR管理器连接)

 工具运行机制 

 工具依赖 

首先,我们需要安装并配置好Sysmon参考资料:

https://docs.microsoft.com/enus/sysinternals/downloads/sysmon


接下来,完成Sysmon的配置,并记录所有的ProcessCreate和ProcessTerminate事件。最后,记录下Sysmon代码的路径,之后需要使用到。

 工具安装 

广大研究人员可以使用下列命令将该项目源码克隆至本地,并自行完成工具编译:

git clone https://github.com/0xrawsec/whids.git

除此之外,我们还可以直接访问该项目的【Releases页面】直接下载最新版本的Whids可执行文件。

 工具配置 

为了最大化Whids的功能,我们需要做以下工具配置:

1、启用PowerShell模块日志功能:gpedit.msc -> Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\System Audit Policies\System\Audit Security System Extension -> Enable;

2、启用文件系统审计功能:gpedit.msc -> Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\System Audit Policies\Object Access\Audit File System -> Enable;

3、如果还需要在设备上运行反病毒产品的话,建议使用Microsoft Defender;

 工具使用 

EDR终端代理(Whids.exe)

下载最新版本的Whids,然后以管理员权限运行manage.bat,并按照提示运行即可。

EDR管理器

EDR管理器可以在不同平台上安装,预构建代码提供了Windows、Linux和Darwin平台的可执行文件。接下来,按照下列步骤操作即可:

1、如果需要使用HTTPS,则需要创建TLS证书;

2、然后创建一个配置文件;

3、最后运行代码即可;

 许可证协议 

本项目的开发与发布遵循AGPL-3.0开源许可证协议。

 项目地址 

Whidshttps://github.com/0xrawsec/whids

参考资料:

https://github.com/0xrawsec/gene

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

https://attack.mitre.org/

https://validator.swagger.io/?url=https://raw.githubusercontent.com/0xrawsec/whids/master/doc/admin.openapi.json

https://www.fireeye.com/blog/threat-research/2016/02/greater_visibilityt.html

https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-antivirus/troubleshoot-windows-defender-antivirus#windows-defender-av-ids

https://rawsec.lu/doc/gene/1.6/

https://github.com/ion-storm/sysmon-edr

https://github.com/ComodoSecurity/openedr

https://github.com/marcosd4h/sysmonx

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651203169&idx=4&sn=e138bced47446f09ac7e583a5707e487&chksm=bd1db4ea8a6a3dfc5f755e265745df9f39088556897420e6b8c79b342f8c261a2cdb8b40aa52#rd
如有侵权请联系:admin#unsafe.sh