工具地址:
https://github.com/ahmedkhlief/APT-Hunter
APT-Hunter是针对Windows事件日志的威胁搜寻工具,由Purple Team Mind开发,用于检测隐藏在海量Windows事件日志中的 APT攻击活动,以减少发现可疑活动的时间,而无需使用复杂的解决方案来解析和检测Windows事件日志中的攻击行为,如SIEM解决方案和日志收集器。
2.需要提供相关的Windows事件日志,可以使用项目中提供的现有工具对Windows事件日志进行收集,如下所示:
3.使用APT-Hunter分析收集到的Windows事件日志,如下所示:
4.检测结果,如下所示:
5.结果会保存到相关的目录下面,可以将这些结果上传到其他工具平台进行更一步的分析,如下所示:
如果对这款工具感兴趣的可以自行下载研究,添加更多的自己提取的相关APT规则,包含的检测规则样例,如下所示:
原文始发于微信公众号(安全分析与研究):APT狩猎工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论