D-Eyes!绿盟的一款检测与响应工具
2023-11-13 08:31:29 Author: 潇湘信安(查看原文) 阅读量:183 收藏

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了

项目简介

D-Eyes为绿盟科技开源的一款检测与响应工具,支持在Windows、Linux操作系统下使用...。

可在如下方面开展支撑:
作为应急响应工具,支持勒索挖矿病毒及webshell等恶意样本排查检测,辅助安全工程师应急响应时排查入侵痕迹,定位恶意样本。(TODO) 作为基线检查工具,辅助检测和排查操作系统配置缺陷;(TODO) 作为软件供应链安全检查工具,可提取web应用程序开源组件清单(sbom),判别引入的组件风险。

目前支持的检测规则

勒索(47个):Babuk、BadEncript、BadRabbit、BCrypt、BlackMatter、Cerber、Chaos、ChupaCabra、Common、Conti、Cryakl、CryptoLocker、cryt0y、DarkSide、Fonix、GandCrab、Globeimposter、Henry217、HiddenTear、LockBit、Locky、Magniber、Makop、MBRLocker、MedusaLocker、Nemty、NoCry、Petya、Phobos、Povlsomware、QNAPCrypt、Sarbloh、Satana、ScreenLocker、Sodinokibi、Stop、Termite、TeslaCrypt、Thanos、Tohnichi、TrumpLocker、Venus、VoidCrypt、Wannacrypt、WannaDie、WannaRen、Zeppelin
挖矿(5个)Wannamine、ELFcoinminer、givemexyz家族、Monero、TrojanCoinMiner
僵尸网络(5个)BlackMoon、Festi、Gafgyt、Kelihos、Mykings

Webshell(≥8个)支持中国菜刀、Cknife、Weevely、蚁剑antSword、冰蝎Behinder、哥斯拉Godzilla等常见工具的webshell脚本的检测。

工具使用

请以管理员或root身份运行cmd,之后再输入D-Eyes路径运行即可或进入终端后切换到D-Eyes程序目录下运行程序,命令选项如下。
命令:    filescan, fs 用于扫描文件系统的命令    processcan, ps 用于扫描进程的命令    host 显示主机基本信息的命令    users 显示主机上所有用户的命令    top 显示CPU使用率前15个进程的命令    netstat 显示主机网络信息的命令    task 显示主机上所有任务的命令    autoruns 用于显示主机上所有自动运行的命令    导出主机基本信息的命令    check 命令用于检查漏洞利用情况    help, h 显示命令列表或一个命令的帮助
命令选项: --path 值,-P 值 -P C://(仅适用于 Filescan)(默认值:“C://”) --pid value, -p value -p 666 (仅适用于processcan。'-1'表示所有进程。) (默认值: -1) --规则值,-r 值 -r Ransom.Wannacrypt --线程值,-t 值 -t 1(仅适用于文件扫描)(默认值:5) --vul value, -v value -v 1(1 用于检查 Exchange Server OWASSRF 利用)(默认值:0) --help, -h 显示帮助(默认值:false)

文件扫描

若扫到恶意文件,会在D-Eyes所在目录下自动生成扫描结果D-Eyes.xlsx文件,若未检测到恶意文件则不会生成文件,会在终端进行提示。
1.默认扫描(默认以5个线程扫描C盘)命令:D-Eyes fs
2.指定路径扫描(-P 参数)单一路径扫描:D-Eyes fs -P D:\tmp多个路径扫描:D-Eyes fs -P C:\Windows\TEMP,D:\tmp,D:\tools
3.指定线程扫描(-t 参数)命令:D-Eyes fs -P C:\Windows\TEMP,D:\tmp -t 3
4.指定单一规则扫描(-r 参数)命令:D-Eyes fs -P D:\tmp -t 3 -r Ransom.Wannacrypt

规则名称即将yaraRules目录下的规则去掉后缀.yar, 如:指定Ransom.Wannacrypt.yar规则,即-r Ransom.Wannacrypt。

进程扫描

进程扫描的结果在终端上进行提示。

1.默认扫描(默认扫描全部进程)命令:D-Eyes ps
2.指定进程pid扫描(-p参数)命令:D-Eyes ps -p 1234
3.指定规则扫描(-r参数)命令:D-Eyes ps -p 1234 -r Ransom.Wannacrypt
4.检测指定外联IP的进程可将恶意ip添加到工具目录ip.config文件当中,执行D-Eyes ps程序会自动检测是否有进程连接该IP,最后结果会输出到终端。
ip.config文件格式(换行添加即可),如:0.0.0.0127.0.0.1

导出主机基本信息

执行该条命令后会在工具同级目录下自动生成“SummaryBaseInfo.txt”文件,文件内容包括主机系统信息、主机用户列表、主机计划任务及主机IP信息。
./D-Eyes summary

Linux主机自检命令

目前Linux自检功能支持以下模块检测:空密码账户检测、SSH Server wrapper检测、SSH用户免密证书登录检测、主机 Sudoer检测、alias检测、Setuid检测、SSH登录爆破检测、主机Rootkit检测、主机历史命令检测、主机最近成功登录信息显示、主机计划任务内容检测、环境变量检测、系统启动服务检测、TCP Wrappers 检测、inetd配置文件检测、xinetd配置文件检测、预加载配置文件检测。

./D-Eyes sc

查看主机网络信息,并导出外联IP

主机若存在远程连接,执行该条命令后会在工具同级目录下自动生成“RemoteConnectionIP.csv”文件,之后可直接将该文件上传到“绿盟NTI威胁研判模块”查询主机所有远程连接IP信息。绿盟NTI威胁研判模块网址:https://ti.nsfocus.com/advance/#/judge
./D-Eyes netstat
其他一些命令大家自己去下载体验下吧,还是很强的一款应急响应工具,建议持续关注这个项目。

注意事项

在D-Eyes工具目录下子目录yaraRules中,部分规则会触发杀毒软件告警,因为该目录存放的规则文件与杀软查杀规则相符,会触发杀软告警,直接加白即可,不会存在实际危害。

下载地址

点击下方名片进入公众号

回复关键字【231113】获取下载链接


信 安 考 证

需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【潇湘信安】知识星球1年!

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...


推 荐 阅 读



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247507386&idx=1&sn=e65b4d4c6c12379b57caa0046ae97d79&chksm=cfa579a9f8d2f0bff56b57fad4d0ed9bf68a36e3fe748a75db854d18de44e8146c205c5113fc&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh