神兵利器 - APT-Hunter 威胁猎人日志分析工具

  • A+
所属分类:安全工具


神兵利器 - APT-Hunter 威胁猎人日志分析工具


        APT-Hunter是Windows事件日志的威胁猎杀工具,它由紫色的团队思想提供检测隐藏在海量的Windows事件日志中的APT运动,以减少发现可疑活动的时间,而不需要有复杂的解决方案来解析和检测Windows事件日志中的攻击,如SIEM解决方案和日志收集器。


        许多分析师忽略了windows事件日志或不知道在哪里搜索可疑的活动,他们大多不知道什么事件日志收集的情况下,攻击.我作为安全专家在SOC环境中的工作,我们提供威胁狩猎,事件响应和取证调查给我们的客户。通常情况下,客户没有SIEM或日志收集器的解决方案,这使得它真的很难收集的Windows事件日志,将它们上传到(SIEM解决方案 , 解析数据 , 开始搜索,以发现任何妥协的迹象,使用搜索,你必须记住他们,为了不错过任何东西),如果你有许可证,但如果你不这样做,那么你是在你自己的享受提取CSV从evtx文件,并开始寻找事件的表与数百万的事件 . 此外,如果你在网上搜索没有多少开源工具来分析windows事件日志和许多分析师变得懒惰,只依靠其他取证来源,以发现系统妥协。



        APT-Hunter有两个部分共同工作,帮助用户快速获得他想要的数据。这个工具将用于加速windows日志分析,但永远不会取代深度日志分析。


  • 收集日志:用户可以手动收集CSV和EVTX格式的日志,或者使用本文后面讨论的powershell脚本来自动提取所需的日志。


  • 分析CSV日志:APT-hunter使用内置库(csv)来解析CSV日志文件,然后使用Regex为APT-hunter中使用的每个事件提取字段。


  • 分析EVTX日志:APT-hunter使用外部库(evtx)来解析EVTX日志文件,然后使用Regex为APT-Hunter中使用的每一个事件提取字段,用户可以使用提取的字段来创建他们的用例。


  • 分析的日志:

    (Sysmon, Security, System, Powershell, Powershell_Operational, ScheduledTask, WinRM, TerminalServices, Windows_Defender)



如何使用

        要做的第一件事是收集日志(如果没有收集日志),并且使用powershell日志收集器可以轻松地自动收集所需的日志,而您只需以管理员身份运行powershell脚本即可。

        

要以EVTX格式收集日志,请使用:windows-log-collector-full-v3-EVTX.ps1要收集CSV格式的日志,请使用:windows-log-collector-full-v3-CSV.ps1



APT-Hunter使用python3构建,因此要使用该工具,您需要安装所需的库。


python3 -m pip install -r Requirements.txt 


APT-Hunter易于使用,您只需使用参数-h即可打印帮助以查看所需的选项


-p:

提供包含使用powershell日志收集器提取的目录的路径(Windows-log-collector-full-v3-CSV.ps1,Windows-log-collector-full-v3-EVTX.ps1)


-o:

将在生成的输出表中使用的项目的名称


-t:

日志类型(如果是CSV或EVTX)

剩余的参数,如果您想分析单一类型的日志。



范例:

#python3 APT-Hunter.py  -t evtx  -p /opt/wineventlogs/  -o Project1#python3 APT-Hunter.py  -t csv  -p /opt/wineventlogs/  -o Project1#python3 APT-Hunter.py  -t evtx  --security evtx/security.evtx -o Project2



结果将分两页显示:


Project1_Report.xlsx:此excel工作表将包括从提供给APT-Hunter的每个Windows日志中检测到的所有事件Project1_TimeSketch.csv:您可以将此CSV文件上传到timeketch,以便进行时间轴分析,以帮助您了解攻击的全貌


神兵利器 - APT-Hunter 威胁猎人日志分析工具


神兵利器 - APT-Hunter 威胁猎人日志分析工具


终端服务的统计信息,以使用户可以交互访问或使用RDP访问服务器GUI终端


神兵利器 - APT-Hunter 威胁猎人日志分析工具


成功/失败身份验证的统计信息,以便获得身份验证摘要,以帮助您检测异常或不应该登录设备的用户


神兵利器 - APT-Hunter 威胁猎人日志分析工具


APT-Hunter检测到的事件

  • [T1086]使用sysmon日志检测带有可疑参数的Powershell

  • [T1543]检测操作Windows服务的Sc.exe

  • [T1059]检测wscript或cscript运行脚本

  • [T1218.005]检测到系统中正在运行的Mshta

  • [T1053]检测计划任务操作

  • [T1047]使用WMI远程运行命令

  • [T1082]系统信息发现

  • [T1117]使用Regsvr32绕过应用程序白名单

  • 禁止进程连接到互联网

  • 检测系统中正在运行的Psexec

  • 检测到禁止连接到互联网的进程

  • 检测Exchange Web服务利用,例如(CVE-2020-0688)

  • 使用安全日志检测密码喷雾攻击

  • 使用安全日志检测通过哈希攻击

  • 使用安全日志检测可疑的枚举用户或组的尝试

  • 使用Powershell操作日志检测Powershell操作(包括TEMP文件夹)

  • 使用Powershell操作日志使用多个事件ID检测可疑的Powershell命令

  • 使用Powershell日志使用多个事件ID检测可疑的Powershell命令

  • 使用终端服务日志从袜子代理检测连接的RDP

  • 使用终端服务日志从公共IP检测连接的RDP

  • 从计算机Powershell远程处理中使用WinRM启动检测连接

  • 使用WinRM启动连接以对Powershell远程计算机进行检测

  • 使用安全日志使用Net命令检测用户创建

  • 使用安全日志检测在可疑位置运行的进程

  • 使用安全日志使用令牌提升检测特权提升

  • 使用安全日志检测可运行的可执行文件

  • 使用安全日志检测可疑的Powershell命令

  • 使用安全日志检测通过管理界面创建的用户

  • 使用安全日志检测Windows关闭事件

  • 使用安全日志检测添加到本地组的用户

  • 使用安全日志检测用户添加到全局组的用户

  • 使用安全日志检测用户添加的用户到通用组

  • 使用安全日志检测从全局组中删除的用户

  • 使用安全日志检测从通用组中删除的用户

  • 使用安全日志检测从本地组中删除的用户

  • 使用安全日志检测从全局组中删除的用户

  • 检测使用安全日志删除的用户帐户

  • 检测到的审计日志已清除。

  • 使用安全日志检测系统审核策略更改

  • 使用安全日志检测计划的任务创建

  • 使用安全日志检测计划的任务删除

  • 使用安全日志检测计划的任务更新

  • 使用安全日志检测启用的计划任务

  • 使用安全日志检测禁用的计划任务

  • 检测Windows Defender使用Windows Defender日志对恶意软件采取了措施

  • 检测Windows Defender无法使用Windows Defender日志对恶意软件采取措施

  • 使用Windows Defender日志检测Windows Defender发现的恶意软件

  • 使用Windows Defender日志检测Windows Defender删除的恶意软件历史记录

  • 检测Windows Defender检测到可疑行为使用Windows Defender日志的恶意软件

  • 使用Windows Defender日志检测禁用的Windows Defender实时保护

  • 使用Windows Defender日志检测Windows Defender实时保护配置已更改

  • 使用Windows Defender日志禁用检测Windows Defender扫描的恶意软件

  • 检测使用计划任务日志注册的计划任务

  • 检测使用计划任务日志更新的计划任务

  • 检测使用计划任务日志删除的计划任务

  • 检测使用系统日志清除的系统日志

  • 使用系统日志检测TEMP文件夹中安装有可执行文件的服务

  • 使用系统日志检测系统中安装的服务

  • 使用系统日志检测服务启动类型已更改

  • 使用系统日志检测服务状态已更改


本文始发于微信公众号(Khan安全团队):神兵利器 - APT-Hunter 威胁猎人日志分析工具

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: