我们的使命
BLUESPAWN通过检测异常活动,帮助蓝队实时监控系统,防止主动攻击者。
项目地址
https://github.com/ION28/BLUESPAWN
什么是BLUESPAWN
BLUESPAWN是一个主动防御和端点检测和响应工具,这意味着它可以被防御者用来快速检测、识别和消除整个网络的恶意活动和恶意软件。
我们为什么制作BLUESPAWN
我们创建和开源的原因有很多,包括以下几点。
-
行动更快。我们希望有专门设计的工具来快速识别系统中的恶意活动。
-
了解我们的覆盖范围。我们想确切地知道我们的工具可以检测到什么,而不是像以前那样依赖黑盒软件(即AV程序)。这种方法将帮助我们更好地把精力集中在特定的工作路线上,并对其他工作的状况有信心。
-
更好地理解。我们希望更好地了解Windows的攻击面,以便更好地防御它。
-
更多开源的蓝队软件。虽然有很多开源的红队工具,但绝大多数最好的蓝队工具是闭源的(即AV、EDR、SysInternals等)。我们不应该需要依靠隐蔽性的安全来防止恶意行为者(显然非常困难,但要努力争取!)。
-
展示操作系统API的功能。我们梳理了大量的微软文档、StackOverflow答案等来创建这个。希望其他人会发现其中一些代码是有用的。
试用BLUESPAWN
注意:BLUESPAWN正处于活跃的alpha开发阶段,因此许多功能可能还没有达到预期的效果,检测的范围可能太窄或产生大量的误报。
注2:BLUESPAWN在大多数情况下是由安全专家运行的,因此,有时会检测到非恶意活动。虽然BLUESPAWN有助于快速浮现潜在的坏事,但它希望用户使用可用的信息来做出最终决定。
查看Wiki页面,了解更多关于可用的命令行选项、例子和更多。
1.从这个页面下载最新版本
2.打开一个管理命令提示符
3.运行以下命令以查看可用选项
.BLUESPAWN-client-x64.exe --h
elp
缓解模式
从你的管理命令提示符中运行以下内容来审核你的系统是否存在许多安全设置
.BLUESPAWN-client-x64.exe --m
itigate --action=audit
狩猎模式
从管理命令提示符中运行BLUESPAWN来猎取系统中的恶意活动。
.BLUESPAWN-client-x64.exe --h
unt -a Cursory --log=console,x
ml
监控模式
从管理命令提示符中运行BLUESPAWN,监测系统中的恶意活动。
.BLUESPAWN-client-x64.exe --m
onitor -a Cursory --log=consol
e,xml
努力的路线
BLUESPAWN由下面列出的3个主要模式组成。这些模块中的几个有子模块(可能还没有在代码库中创建),如下所列,而且都处于不同的规划、研究和开发阶段。此外,它们还得到一些其他模块的支持。
-
狩猎(猎取恶意行为的证据)
-
缓解(通过应用安全设置来缓解弱点)
-
监控 (持续监控系统的潜在恶意行为)
-
扫描(用于评估由猎取确定的项目,并决定它是否是可疑的/恶意软件)
-
用户(包含程序主程序、IOBase和其他类似功能)
-
Util (包含支持核心操作的模块集合)
-
配置
-
事件日志
-
文件系统
-
日志
-
PEs
-
进程
原文始发于微信公众号(白帽兔):BLUESPAWN——一个主动防御和EDR软件,赋予蓝队力量
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论