D-Eyes！綠盟的一款檢測與響應工具

項目簡介

D-Eyes為綠盟科技開源的一款檢測與響應工具，支持在Windows、Linux操作系統下使用...。

可在如下方面開展支撐：

作為應急響應工具，支持勒索挖礦病毒及webshell等惡意樣本排查檢測，輔助安全工程師應急響應時排查入侵痕跡，定位惡意樣本。(TODO) 作為基線檢查工具，輔助檢測和排查操作系統配置缺陷；(TODO) 作為軟件供應鏈安全檢查工具，可提取web應用程序開源組件清單（sbom），判別引入的組件風險。

目前支持的檢測規則

勒索(47個)：Babuk、BadEncript、BadRabbit、BCrypt、BlackMatter、Cerber、Chaos、ChupaCabra、Common、Conti、Cryakl、CryptoLocker、cryt0y、DarkSide、Fonix、GandCrab、Globeimposter、Henry217、HiddenTear、LockBit、Locky、Magniber、Makop、MBRLocker、MedusaLocker、Nemty、NoCry、Petya、Phobos、Povlsomware、QNAPCrypt、Sarbloh、Satana、ScreenLocker、Sodinokibi、Stop、Termite、TeslaCrypt、Thanos、Tohnichi、TrumpLocker、Venus、VoidCrypt、Wannacrypt、WannaDie、WannaRen、Zeppelin

挖礦(5個)：Wannamine、ELFcoinminer、givemexyz家族、Monero、TrojanCoinMiner

僵尸網絡(5個)：BlackMoon、Festi、Gafgyt、Kelihos、Mykings

Webshell(≥8個)：支持中國菜刀、Cknife、Weevely、蟻劍antSword、冰蝎Behinder、哥斯拉Godzilla等常見工具的webshell腳本的檢測。

工具使用

請以管理員或root身份運行cmd，之后再輸入D-Eyes路徑運行即可或進入終端后切換到D-Eyes程序目錄下運行程序，命令選項如下。

命令：    filescan, fs 用于掃描文件系統的命令    processcan, ps 用于掃描進程的命令    host 顯示主機基本信息的命令    users 顯示主機上所有用戶的命令    top 顯示CPU使用率前15個進程的命令    netstat 顯示主機網絡信息的命令    task 顯示主機上所有任務的命令    autoruns 用于顯示主機上所有自動運行的命令    導出主機基本信息的命令    check 命令用于檢查漏洞利用情況    help, h 顯示命令列表或一個命令的幫助
命令選項：    --path 值，-P 值 -P C://（僅適用于 Filescan）（默認值：“C://”）    --pid value, -p value -p 666 (僅適用于processcan。'-1'表示所有進程。) (默認值: -1)    --規則值，-r 值 -r Ransom.Wannacrypt    --線程值，-t 值 -t 1（僅適用于文件掃描）（默認值：5）    --vul value, -v value -v 1（1 用于檢查 Exchange Server OWASSRF 利用）（默認值：0）    --help, -h 顯示幫助（默認值：false）

文件掃描

若掃到惡意文件，會在D-Eyes所在目錄下自動生成掃描結果D-Eyes.xlsx文件，若未檢測到惡意文件則不會生成文件，會在終端進行提示。

1.默認掃描(默認以5個線程掃描C盤)命令：D-Eyes fs
2.指定路徑掃描(-P 參數)單一路徑掃描：D-Eyes fs -P D:\tmp多個路徑掃描：D-Eyes fs -P C:\Windows\TEMP,D:\tmp,D:\tools
3.指定線程掃描(-t 參數)命令：D-Eyes fs -P C:\Windows\TEMP,D:\tmp -t 3
4.指定單一規則掃描(-r 參數)命令：D-Eyes fs -P D:\tmp -t 3 -r Ransom.Wannacrypt

規則名稱即將yaraRules目錄下的規則去掉后綴.yar, 如：指定Ransom.Wannacrypt.yar規則，即-r Ransom.Wannacrypt。

進程掃描

進程掃描的結果在終端上進行提示。

1.默認掃描(默認掃描全部進程)命令：D-Eyes ps
2.指定進程pid掃描(-p參數)命令：D-Eyes ps -p 1234
3.指定規則掃描(-r參數)命令：D-Eyes ps -p 1234 -r Ransom.Wannacrypt
4.檢測指定外聯IP的進程可將惡意ip添加到工具目錄ip.config文件當中，執行D-Eyes ps程序會自動檢測是否有進程連接該IP，最后結果會輸出到終端。
ip.config文件格式(換行添加即可)，如：0.0.0.0127.0.0.1

導出主機基本信息

執行該條命令后會在工具同級目錄下自動生成“SummaryBaseInfo.txt”文件，文件內容包括主機系統信息、主機用戶列表、主機計劃任務及主機IP信息。

./D-Eyes summary

Linux主機自檢命令

目前Linux自檢功能支持以下模塊檢測：空密碼賬戶檢測、SSH Server wrapper檢測、SSH用戶免密證書登錄檢測、主機 Sudoer檢測、alias檢測、Setuid檢測、SSH登錄爆破檢測、主機Rootkit檢測、主機歷史命令檢測、主機最近成功登錄信息顯示、主機計劃任務內容檢測、環境變量檢測、系統啟動服務檢測、TCP Wrappers 檢測、inetd配置文件檢測、xinetd配置文件檢測、預加載配置文件檢測。

./D-Eyes sc

查看主機網絡信息，并導出外聯IP

主機若存在遠程連接，執行該條命令后會在工具同級目錄下自動生成“RemoteConnectionIP.csv”文件，之后可直接將該文件上傳到“綠盟NTI威脅研判模塊”查詢主機所有遠程連接IP信息。綠盟NTI威脅研判模塊網址：https://ti.nsfocus.com/advance/#/judge

./D-Eyes netstat