FENRIR是THOR和LOKI之后的第三个工具。THOR是我们功能齐全的APT扫描仪,为企业客户提供许多模块和导出类型。LOKI是一个免费且开放的IOC扫描仪,使用YARA作为签名格式。这两个前辈的问题在于,两者都对Linux平台有一定的要求。我们为特定的Linux版本构建THOR,以匹配YARA模块所需的正确libc。LOKI需要在Linux上安装Python和YARA才能运行。
工具基础特性
Bash脚本
无需安装,无需代理
使用常用工具来提取属性,例如md5sum、grep以及不同模式的stat
可在Linux、Unix和macOS系统平台下运行
智能排除(根据文件大小、扩展名和某些目录),以加快扫描速度
不留痕迹
工具使用
Fenrir的运行流程如下:
1、读取IoC文件;
2、获取操作参数,并配置递归扫描的起始路径(目录);
3、检查lsof输出中的C2服务器;
4、检查需排除的目录(可在脚本的Header中配置);
5、检查需要扫描的特殊文件扩展名(可在脚本的Header中配置);
6、检查IoC文件中的文件名(完整路径)是否匹配;
7、检查需要排除的文件大小(可在脚本的Header中配置);
8、检查文件中的某些字符串(通过grep实现);
9、检查给定哈希值;
10、检查文件更改和创建时间戳;
工具运行截图
扫描执行,匹配不同类型的demo目录:
文章来与及下载:
https://github.com/Neo23x0/Fenrir
你可能喜欢