Moonwalk - Linux系統日志清除工具

項目地址：

https://github.com/mufeedvh/moonwalk/

0x01 介紹

moonwalk是一個400 KB的單二進制可執行文件，可以在滲透測試Unix機器時清除您的痕跡。它保存系統日志開發前的狀態，并恢復該狀態，包括開發后的文件系統時間戳，在 shell 中留下零幽靈的痕跡。

?? 注意：此工具是開源的，僅用于協助紅隊運營，作者絕不對因禁止使用此工具而造成的影響負責。僅在您有權測試的計算機中使用它。

0x02 特征

• 小型可執行文件：快速開始curl獲取目標機器。
• 快速：在 5 毫秒內執行所有會話命令，包括日志記錄、跟蹤清除和文件系統操作。
• 偵察：為了保存系統日志的狀態，moonwalk找到一個全局可寫路徑并將會話保存在一個點目錄下，該目錄在結束會話時被刪除。
• Shell歷史記錄：不是清除整個歷史記錄文件，而是moonwalk將其恢復為包括調用moonwalk.
• 文件系統時間戳：通過將文件的訪問/修改時間戳恢復為使用GET命令的方式來隱藏藍隊。

0x03 安裝

$ curl -L https://github.com/mufeedvh/moonwalk/releases/download/v1.0.0/moonwalk_linux -o moonwalk

(AMD x86-64)

或者從Releases下載可執行文件或使用cargo命令安裝：

$ cargo install --git https://github.com/mufeedvh/moonwalk.git

安裝 Rust/Cargo：

https://rust-lang.org/tools/install

0x04 從源代碼構建

先決條件：

• Git：https://git-scm.org/downloads
• Rust：https://rust-lang.org/tools/install
• Cargo（安裝 Rust 時自動安裝）
• AC 鏈接器（僅適用于Linux，通常預裝）

$ git clone https://github.com/mufeedvh/moonwalk.git
$ cd moonwalk/
$ cargo build --release

第一個命令將此存儲庫克隆到您的本地計算機，最后兩個命令進入目錄并以發布模式構建源代碼。

0x05 用法

將 shell 安裝到目標 Unix 機器后，通過運行以下命令啟動 moonwalk 會話：

$ moonwalk start

在您進行偵察/利用并弄亂任何文件時，請touch事先獲取文件的時間戳命令，以便在您訪問/修改它后將其恢復：

$ moonwalk get ~/.bash_history

利用后，清除您的痕跡并使用此命令關閉會話：

$ moonwalk finish