×
618会员大促,站长已经被打骨折了
我也来一脚
忽略

D-Eyes:一个绿盟科技开发的支持Yara规则的跨平台应急响应工具

D-Eyes是一个支持Yara规则的应急响应工具,该工具由绿盟科技大佬研发,工具支持部分勒索挖矿病毒的查杀,支持指定文件、目录、进程、外联IP扫描告警,支持基线信息扫描,Linux下支持空密码账户检测、SSH Server wrapper检测、SSH用户免密证书登录检测、主机 Sudoer检测、alias检测、Setuid检测、SSH登录爆破检测、主机Rootkit检测。该版本为spring漏洞预排查专版,支持spring漏洞扫描。

标准版

应急响应工具D-Eyes使用说明

  • 概述

D-Eyes为绿盟科技一款应急响应工具,支持勒索挖矿病毒及webshell等恶意样本排查检测,同时可作为应急响应排查时的辅助工具。

  • 使用说明
  1. 运行D-Eyes说明
  • Windows:请以管理员身份运行cmd,之后再输入D-Eyes路径运行即可或进入终端后切换到D-Eyes程序目录下运行程序。
  • Linux:请以root身份运行。
  1. 文件扫描

   注:若扫到恶意文件,会在D-Eyes所在目录下自动生成扫描结果D-Eyes.xlsx文件,若未检测到恶意文件则不会生成文件,会在终端进行提示。

  • Windows
  • 默认扫描(默认以5个线程扫描C盘)

命令:D-Eyes fs

  • 指定路径扫描(-P 参数)

单一路径扫描:D-Eyes fs -P D:tmp

        多个路径扫描D-Eyes fs -P C:WindowsTEMP,D:tmp,D:tools

  • 指定线程扫描(-t 参数)

命令:D-Eyes fs -P C:WindowsTEMP,D:tmp -t 3

  • 指定单一规则扫描(-r 参数)

命令:D-Eyes fs -P D:tmp -t 3 -r Ransom.Wannacrypt

        注:规则名称即将yaraRules目录下的规则去掉后缀".yar", 如:指定”Ransom.Wannacrypt.yar”规则,即”-r Ransom.Wannacrypt”。

  • Linux
  • 默认扫描(默认以5个线程扫描全盘)

命令:./D-Eyes fs

  • 指定路径扫描(-P 参数)

单一路径扫描:./D-Eyes fs -P /tmp

        多个路径扫描./D-Eyes fs -P /tmp,/var

  • 指定线程扫描(-t 参数)

命令:./D-Eyes fs -P /tmp,/var -t 3

  • 指定单一规则扫描(-r 参数)

命令:./D-Eyes fs -P /tmp -t 3 -r Ransom.Wannacrypt

        注:规则名称即将yaraRules目录下的规则去掉后缀".yar", 如:指定”Ransom.Wannacrypt.yar”规则,即”-r Ransom.Wannacrypt”。

 

 

 

  1. 进程扫描

  注:进程扫描的结果在终端上进行提示。

  • Windows:
  • 默认扫描(默认扫描全部进程)

     命令:D-Eyes ps

  • 指定进程pid扫描(-p参数)

命令:D-Eyes ps -p 1234

  • 指定规则扫描(-r参数)

命令:D-Eyes ps -p 1234 -r Ransom.Wannacrypt

  • 检测指定外联IP的进程

可将恶意ip添加到工具目录 ”ip.config”文件当中,执行”D-Eyes ps”程序会自动检测是否有进程连接该IP,最后结果会输出到终端。

ip.config 文件格式(换行添加即可),如:

0.0.0.0

127.0.0.1

 

  • Linux:
  • 默认扫描(默认扫描全部进程)

     命令:./D-Eyes ps

  • 指定进程pid扫描(-p参数)

命令:./D-Eyes ps -p 1234

  • 指定规则扫描(-r参数)

命令:./D-Eyes ps -p 1234 -r Ransom.Wannacrypt

  • 检测指定外联IP的进程

可将恶意ip添加到工具目录 ”ip.config”文件当中,执行”D-Eyes ps”程序会自动检测是否有进程连接该IP,最后结果会输出到终端。

ip.config 文件格式(换行添加即可),如:

0.0.0.0

127.0.0.1

 

  1. 查看主机信息

   Windows命令:D-Eyes host

   Linux命令:   ./D-Eyes host

  1. 查看主机网络信息,并导出外联IP

   Windows命令:D-Eyes netstat

   Linux命令:   ./D-Eyes netstat

   注:主机若存在远程连接,执行该条命令后会在工具同级目录下自动生成“RemoteConnectionIP.csv”文件,之后可直接将该文件上传到“绿盟NTI威胁研判模块”查询主机所有远程连接IP信息。
绿盟NTI威胁研判模块网址:https://ti.nsfocus.com/advance/#/judge

  1. 查看主机账户

   Windows命令:D-Eyes users

   Linux命令:   ./D-Eyes users

 

  1. 显示主机CPU使用率前15个进程信息

Windows命令:D-Eyes top

    Linux命令:   ./D-Eyes top

  1. 查看计划任务

Windows命令:D-Eyes task

    Linux命令:   ./D-Eyes task

  1. 查看自启项

Windows命令:D-Eyes autoruns

    Linux命令:   ./D-Eyes autoruns

  • 导出主机基本信息

Windows命令:D-Eyes summary

Linux命令:   ./D-Eyes summary

注:执行该条命令后会在工具同级目录下自动生成“SummaryBaseInfo.txt”文件,文件内容包括主机系统信息、主机用户列表、主机计划任务及主机IP信息。

  • Linux主机自检命令

Linux命令:   ./D-Eyes sc

注:目前Linux自检功能支持以下模块检测:

空密码账户检测、SSH Server wrapper检测、SSH用户免密证书登录检测、主机 Sudoer检测、alias检测、Setuid检测、SSH登录爆破检测、主机Rootkit检测、主机历史命令检测、主机最近成功登录信息显示、主机计划任务内容检测、环境变量检测、系统启动服务检测、TCP Wrappers 检测、inetd配置文件检测、xinetd配置文件检测、预加载配置文件检测。

  • 注意事项

在D-Eyes工具目录下子目录yaraRules中,部分规则会触发杀毒软件告警,因为该目录存放的规则文件与杀软查杀规则相符,会触发杀软告警,直接加白即可,不会存在实际危害。

  • 附录:目前支持的检测规则

目前支持的恶意样本检测种类如下:
勒索:

Babuk、BadEncript、BadRabbit、BCrypt、BlackMatter、Cerber、Chaos、ChupaCabra、Common、Conti、Cryakl、CryptoLocker、cryt0y、DarkSide、Fonix、GandCrab、Globeimposter、Henry217、HiddenTear、LockBit、Locky、Magniber、Makop、MBRLocker、MedusaLocker、Nemty、NoCry、Petya、Phobos、Povlsomware、QNAPCrypt、Sarbloh、Satana、ScreenLocker、Sodinokibi、Stop、Termite、TeslaCrypt、Thanos、Tohnichi、TrumpLocker、Venus、VoidCrypt、Wannacrypt、WannaDie、WannaRen、Zeppelin

挖矿:

Wannamine、ELFcoinminer、givemexyz家族、Monero、TrojanCoinMiner

僵尸网络:

BlackMoon、Festi、Gafgyt、Kelihos、Mykings

Webshell:

支持中国菜刀、Cknife、Weevely、蚁剑 antSword、冰蝎 Behinder、哥斯拉 Godzilla等常见工具的webshell脚本的检测。

D-Eyes Spring漏洞预排查专版使用方式:

  1.文件检测参数介绍

filescan/fs: 指定文件扫描功能
-path/-P: 指定扫描路径(默认为“ C:// ”或者“ / ”),如:windows版:“ -path C:// ”;Linux版:“ -path / ”
-thread/-t:指定线程数(可选参数),默认为5,如:“ -thread 1 ”

  2.文件检测模块扫描方式:

Windows:
D-Eyes filescan -path C:// -thread 3
Linux:
./D-Eyes filescan -path / -thread 3
缩简命令:
Windows:
D-Eyes fs -P C:// -t 3
Linux:
./D-Eyes fs -P / -t 3

应急响应工具D-Eyes Fastjson专版使用说明

  • 概述

D-Eyes为绿盟科技一款应急响应工具,支持勒索挖矿病毒及webshell等恶意样本排查检测,同时可作为应急响应排查时的辅助工具。

D-Eyes Fastjson检测专版在检测主机是否使用了受影响的fastjson组件的同时,默认会检测主机是否存在webshell。

  • 使用说明
  1. 运行D-Eyes说明
  • Windows:请以管理员身份运行cmd,之后再输入D-Eyes路径运行即可或进入终端后切换到D-Eyes程序目录下运行程序。
  • Linux:请以root身份运行。
  1. 文件扫描

   注:若扫到恶意文件,会在D-Eyes所在目录下自动生成扫描结果D-Eyes.xlsx文件,若未检测到恶意文件则不会生成文件,会在终端进行提示。

  • Windows(Fastjson专版fs命令默认同时检测webshell)
  • 默认扫描(默认以5个线程扫描C盘)

命令:D-Eyes fs

  • 指定路径扫描(-P 参数)

单一路径扫描:D-Eyes fs -P D:tmp

        多个路径扫描D-Eyes fs -P C:WindowsTEMP,D:tmp,D:tools

  • 指定线程扫描(-t 参数)

命令:D-Eyes fs -P C:WindowsTEMP,D:tmp -t 3

  • 指定单一规则扫描(-r 参数)

命令:D-Eyes fs -P D:tmp -t 3 -r Ransom.Wannacrypt

        注:规则名称即将yaraRules目录下的规则去掉后缀".yar", 如:指定”Ransom.Wannacrypt.yar”规则,即”-r Ransom.Wannacrypt”。

  • Linux(Fastjson专版fs命令默认同时检测webshell)
  • 默认扫描(默认以5个线程扫描全盘)

命令:./D-Eyes fs

  • 指定路径扫描(-P 参数)

单一路径扫描:./D-Eyes fs -P /tmp

        多个路径扫描./D-Eyes fs -P /tmp,/var

  • 指定线程扫描(-t 参数)

命令:./D-Eyes fs -P /tmp,/var -t 3

  • 指定单一规则扫描(-r 参数)

命令:./D-Eyes fs -P /tmp -t 3 -r Ransom.Wannacrypt

        注:规则名称即将yaraRules目录下的规则去掉后缀".yar", 如:指定”Ransom.Wannacrypt.yar”规则,即”-r Ransom.Wannacrypt”。

 

 

 

  1. 进程扫描

  注:进程扫描的结果在终端上进行提示。

  • Windows:
  • 默认扫描(默认扫描全部进程)

     命令:D-Eyes ps

  • 指定进程pid扫描(-p参数)

命令:D-Eyes ps -p 1234

  • 指定规则扫描(-r参数)

命令:D-Eyes ps -p 1234 -r Ransom.Wannacrypt

  • 检测指定外联IP的进程

可将恶意ip添加到工具目录 ”ip.config”文件当中,执行”D-Eyes ps”程序会自动检测是否有进程连接该IP,最后结果会输出到终端。

ip.config 文件格式(换行添加即可),如:

0.0.0.0

127.0.0.1

 

  • Linux:
  • 默认扫描(默认扫描全部进程)

     命令:./D-Eyes ps

  • 指定进程pid扫描(-p参数)

命令:./D-Eyes ps -p 1234

  • 指定规则扫描(-r参数)

命令:./D-Eyes ps -p 1234 -r Ransom.Wannacrypt

  • 检测指定外联IP的进程

可将恶意ip添加到工具目录 ”ip.config”文件当中,执行”D-Eyes ps”程序会自动检测是否有进程连接该IP,最后结果会输出到终端。

ip.config 文件格式(换行添加即可),如:

0.0.0.0

127.0.0.1

 

  1. 查看主机信息

   Windows命令:D-Eyes host

   Linux命令:   ./D-Eyes host

  1. 查看主机网络信息,并导出外联IP(Fastjson检测专版不支持)

   Windows命令:D-Eyes netstat

   Linux命令:   ./D-Eyes netstat

   注:主机若存在远程连接,执行该条命令后会在工具同级目录下自动生成“RemoteConnectionIP.csv”文件,之后可直接将该文件上传到“绿盟NTI威胁研判模块”查询主机所有远程连接IP信息。
绿盟NTI威胁研判模块网址:https://ti.nsfocus.com/advance/#/judge

  1. 查看主机账户

   Windows命令:D-Eyes users

   Linux命令:   ./D-Eyes users

 

  1. 显示主机CPU使用率前15个进程信息(Fastjson检测专版不支持)

Windows命令:D-Eyes top

    Linux命令:   ./D-Eyes top

  1. 查看计划任务

Windows命令:D-Eyes task

    Linux命令:   ./D-Eyes task

  1. 查看自启项

Windows命令:D-Eyes autoruns

    Linux命令:   ./D-Eyes autoruns

  • 导出主机基本信息

Windows命令:D-Eyes summary

Linux命令:   ./D-Eyes summary

注:执行该条命令后会在工具同级目录下自动生成“SummaryBaseInfo.txt”文件,文件内容包括主机系统信息、主机用户列表、主机计划任务及主机IP信息。

  • Linux主机自检命令

Linux命令:   ./D-Eyes sc

注:目前Linux自检功能支持以下模块检测(Fastjson检测专版支持部分检测):

空密码账户检测、SSH Server wrapper检测、SSH用户免密证书登录检测、主机 Sudoer检测、alias检测、Setuid检测、SSH登录爆破检测、主机Rootkit检测、主机历史命令检测、主机最近成功登录信息显示、主机计划任务内容检测、环境变量检测、系统启动服务检测、TCP Wrappers 检测、inetd配置文件检测、xinetd配置文件检测、预加载配置文件检测。

  • 注意事项

在D-Eyes工具目录下子目录yaraRules中,部分规则会触发杀毒软件告警,因为该目录存放的规则文件与杀软查杀规则相符,会触发杀软告警,直接加白即可,不会存在实际危害。

  • 附录:目前支持的检测规则

目前支持的恶意样本检测种类如下:
勒索:

Babuk、BadEncript、BadRabbit、BCrypt、BlackMatter、Cerber、Chaos、ChupaCabra、Common、Conti、Cryakl、CryptoLocker、cryt0y、DarkSide、Fonix、GandCrab、Globeimposter、Henry217、HiddenTear、LockBit、Locky、Magniber、Makop、MBRLocker、MedusaLocker、Nemty、NoCry、Petya、Phobos、Povlsomware、QNAPCrypt、Sarbloh、Satana、ScreenLocker、Sodinokibi、Stop、Termite、TeslaCrypt、Thanos、Tohnichi、TrumpLocker、Venus、VoidCrypt、Wannacrypt、WannaDie、WannaRen、Zeppelin

挖矿:

Wannamine、ELFcoinminer、givemexyz家族、Monero、TrojanCoinMiner

僵尸网络:

BlackMoon、Festi、Gafgyt、Kelihos、Mykings

Webshell:

支持中国菜刀、Cknife、Weevely、蚁剑 antSword、冰蝎 Behinder、哥斯拉 Godzilla等常见工具的webshell脚本的检测。

相关推荐: D-Eyes:一个绿盟科技开发的支持Yara规则的跨平台应急响应工具

D-Eyes是一个支持Yara规则的应急响应工具,该工具由绿盟科技大佬研发,工具支持部分勒索挖矿病毒的查杀,支持指定文件、目录、进程、外联IP扫描告警,支持基线信息扫描,Linux下支持空密码账户检测、SSH Server wrapper检测、SSH用户免密证…

 

相关文件下载地址

该资源需登录后下载

去登录
温馨提示:若该资源侵犯了您的权益,请联系我们处理。
D-Eyes:一个绿盟科技开发的支持Yara规则的跨平台应急响应工具
免费资源
立即下载