此工具是一个辅助监控工具(特殊场景和人员使用,见下面的适用场景),监控一些常见的病毒文件类型、Webshell、计划任务、服务等。
1、视频操作手册: 本视频。
2、适用场景:
(1)、红队:主要是防止被Github、某某公众号、星球等上面的开源(或闭源)工具有意或无意的投毒。
(2)、蓝队:攻防对抗演练、护网期间使用,特别适合于裸奔的客户。
(3)、病毒分析人员:调试分析病毒木马期间,监控释放的文件、创建的服务等等。
3、监控的内容:
1)默认监控常用病毒木马落地磁盘的类型
默认监控的文件类型已经内置。
2)默认监控的Webshell类型有如下: '.asp', '.asa', '.cer', '.cdx', '.htr', 'cfm', '.stm', '.shtm', '.shtml', '.aspx', '.asax', '.ashx', '.ashm', '.asmx', '.ascx', '.svc', '.soap', '.cshtml', '.config', '.php', '.php2', '.php3', '.php4', '.php5', '.phps', '.phtml', '.pht', '.php::$DATA', ".htaccess", '.jsp', '.jspx', '.jspf','.jspa', '.jsw', '.jsv', '.jtml', "war"
如果上述webshell类型还不能满足,用户可以去自定义添加,比如添加.abc文件后缀,那样就会同时监控上述类型和用户自定义的.abc类型。
3)默认监控 计划任务的创建和修改
4)默认监控 windows服务的创建和修改
3、工具监控截图(每个部分都有单独的日志留存)
4、同步日志(为溯源提供帮助)
日志信息同步网络空间其他的主机(比较实用,防止被入侵后,清除了日志,包括系统日志也可以同步)
这里采用单向同步且启用版本控制,防止日志被覆盖。
推荐工具(不是做广告哈~)
简单介绍一下设置:
被同步端设置(也就是需要把日志上传到其他主机的一端):
同步端设置(也就是远程备份日志的主机端):
同步过来的日志文件,且有版本控制
0x03 下载链接
https://github.com/Zer08Bytes/Monitoring
原文始发于微信公众号(网络安全者):红蓝队病毒木马监控辅助工具(12月3日更新)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论