APT猎手
APT-Hunter 是用于 Windows 事件日志的威胁搜寻工具,它由紫色团队心态制作,用于检测隐藏在 Windows 事件日志海洋中的 APT 活动,以减少发现可疑活动的时间。APT-Hunter使用预定义的检测规则,并专注于统计发现异常,这在危害评估中非常有效。可以直接从 Excel 、 Timeline Explorer 、 Timesketch 等分析时间线产生的输出...
本文中有关该工具及其使用方式的完整信息:introducing-apt-hunter-threat-hunting-tool-using-windows-event-log
新发布信息:APT-HUNTER V3.0:使用多处理和新的酷炫功能重建
作者
推特:@ahmed_khlief
领英:艾哈迈德·克里夫
下载 APT-Hunter:
从发布页面下载带有编译二进制文件的最新稳定版 APT-Hunter 。https://shells.systems/apt-hunter-v3-0-rebuilt-with-multiprocessing-and-new-cool-features/
如何使用 APT 猎人
APT-Hunter 使用 python3 构建,因此为了使用您需要安装所需库的工具。
python3 -m pip install -r requirements.txtAPT-Hunter 易于使用,您只需使用参数 -h 来打印帮助以查看所需的选项。
python3 APT-Hunter.py -h
例子:
分析EVTX文件,你可以提供包含日志的目录或单个文件,APT猎手会检测日志的类型。
python3 APT-Hunter.py -p /opt/wineventlogs/ -o Project1 -allreport添加时间框架以关注特定时间轴:
python3 APT-Hunter.py -p /opt/wineventlogs/ -o Project1 -allreport -start 2022-04-03 -end 2022-04-05T20:56使用 String 或 regex 进行搜索:
python3 APT-Hunter.py -hunt "psexec" -p /opt/wineventlogs/ -o Project2python3 APT-Hunter.py -huntfile "(psexec|psexesvc)" -p /opt/wineventlogs/ -o Project2
使用包含正则表达式列表的文件进行搜索:
python3 APT-Hunter.py -huntfile "huntfile.txt)" -p /opt/wineventlogs/ -o Project2项目地址:https://github.com/ahmedkhlief/APT-Hunter
原文始发于微信公众号(Ots安全):APT-Hunter 用于 Windows 事件日志的威胁搜寻工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论