致谢
自从HawkEye上线以来,该项目目前已经收获star 74星,感谢各位捧场,并star该项目,GitHub地址:https://github.com/mir1ce/Hawkeye
同时微信公众号后台关于该项目的文章突破1.5w浏览量,感谢各位捧场,后续也会持续优化该项目
同时感谢@骁 github地址:https://github.com/Fheidt12,提供的思路,新版本采用调用Windows原生api的方式获取日志,放弃开源库,新版本文件更小。更方便远程应急的小伙伴上传应急响应工具,能够更快的展开分析工作。
HawkEye新版本
新增签名识别选项
针对常见Windows维权选项,添加了签名识别,方便安全工程师快速识别存在异常的文件信息,如计划任务,服务信息
新增RDP登录日志的获取
做过应急响应的小伙伴应该知道,在面临勒索病毒,或者是内网横向攻击时,攻击者可能使用RDP展开横向攻击,那么本次版本新增了RDP登录日志,和RDP连接日志(也就是我内网横向了谁)
新增 SqlServer日志
在安全分析过程中,攻击者可能通过sqlserver弱口令结合MDUT等数据库利用工具,或者是SQL注入漏洞,实现命令执行的操作,那么我们就需要重点关注sqlsever数据库的登录日志,以及show advance options的操作日志,本次版本更新,新增该场景,方便工程师快速识别相关风险,并且,针对xp_cmdshell的操作日志,进行标注,方便新手朋友快速查看存在的问题
新增powershell日志
攻击者利用漏洞后可能会使用powershell上线cs或者是展开更深层次的利用,该版本新增powershell日志,方便安全工程师进行分析
更多
更多安全咨询以及应急响应相关问题,欢迎关注微信公众号:事件响应回忆录
或者加入微信交流群,进行交流,如果邀请二维码过期,可关注微信公众号,后台联系管理员,届时会提供最新邀请码信息。
github
如果喜欢该项目,或者觉得有用,可以点个小星星,后面会持续更新
github:https://github.com/mir1ce/Hawkeye
原文始发于微信公众号(事件响应回忆录):安全工程师的好帮手,Windows应急响应工具HawkEye更新!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论