APT-Hunter 用于 Windows 事件日志的威胁搜寻工具
2023-4-24 09:58:31 Author: Ots安全(查看原文) 阅读量:32 收藏

APT-Hunter 是用于 Windows 事件日志的威胁搜寻工具,它由紫色团队心态制作,用于检测隐藏在 Windows 事件日志海洋中的 APT 活动,以减少发现可疑活动的时间。APT-Hunter使用预定义的检测规则,并专注于统计发现异常,这在危害评估中非常有效。可以直接从 Excel 、 Timeline Explorer 、 Timesketch 等分析时间线产生的输出...

本文中有关该工具及其使用方式的完整信息:introducing-apt-hunter-threat-hunting-tool-using-windows-event-log

新发布信息:APT-HUNTER V3.0:使用多处理和新的酷炫功能重建

推特:@ahmed_khlief

领英:艾哈迈德·克里夫

从发布页面下载带有编译二进制文件的最新稳定版 APT-Hunter 。https://shells.systems/apt-hunter-v3-0-rebuilt-with-multiprocessing-and-new-cool-features/

APT-Hunter 使用 python3 构建,因此为了使用您需要安装所需库的工具。

python3 -m pip install -r requirements.txt

APT-Hunter 易于使用,您只需使用参数 -h 来打印帮助以查看所需的选项。

 python3 APT-Hunter.py -h

分析EVTX文件,你可以提供包含日志的目录或单个文件,APT猎手会检测日志的类型。

python3 APT-Hunter.py    -p /opt/wineventlogs/ -o Project1 -allreport

添加时间框架以关注特定时间轴:

python3 APT-Hunter.py    -p /opt/wineventlogs/ -o Project1 -allreport -start 2022-04-03 -end 2022-04-05T20:56

使用 String 或 regex 进行搜索:

python3 APT-Hunter.py  -hunt "psexec" -p /opt/wineventlogs/ -o Project2python3 APT-Hunter.py  -huntfile "(psexec|psexesvc)" -p /opt/wineventlogs/ -o Project2

使用包含正则表达式列表的文件进行搜索:

python3 APT-Hunter.py  -huntfile "huntfile.txt)" -p /opt/wineventlogs/ -o Project2

项目地址:https://github.com/ahmedkhlief/APT-Hunter


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247497339&idx=2&sn=4e42b1ee4ba73bb6ab567bf334273930&chksm=9badbf30acda3626b9dc754992ae3d25e41c33634373d4de4460cfd1685e742ced9c102f1828#rd
如有侵权请联系:admin#unsafe.sh