Code Monkey home page Code Monkey logo

d-eyes's Introduction

D-Eyes 工具简介

D-Eyes 为 M-SEC 社区出品的一款终端检测与响应工具,可在如下方面开展支撑:

  1. 作为应急响应工具,支持勒索挖矿病毒及 webshell 等恶意样本排查检测,辅助安全工程师应急响应时排查入侵痕迹,定位恶意样本。
  2. 作为软件供应链安全检查或 DevSecOps 工具,可提取 web 应用程序开源组件清单(sbom),配合 SCA(如 RyzeSCA),判别引入的组件风险。
  3. 作为基线检查工具,辅助检测和排查操作系统配置缺陷;(TODO)
  4. 作为资产探测工具,以本机为中心探测可达目标资产。 注意打开软件的图标

D-Eyes 通过相应的一级指令,支持应急响应、SCA 以及基线检查等场景,更多功能,期待您的建议,社区将评估和纳入发布计划中。

  • detect 指令:支持应急响应场景,支持 windows 和 linux 系统的入侵排查;
  • sbom 指令:支持 Java、Python、PHP、.Net、NodeJS 等应用的 sbom 分析;
  • benchmark 指令:支持 windows 和 linux 操作系统、常用中间件及数据库的配置缺陷检查,排查隐患。
  • assets指令:支持给定探测资产目标,或者自动探测和发现周边主机资产及互联网连通性。

工具运行

为保证检测覆盖范围和效果,建议使用高权限用户启动。

  • Windows 操作系统:建议以管理员身份运行 cmd,之后再输入 D-Eyes 路径运行即可或进入终端后切换到 D-Eyes 程序目录下运行程序。
  • Linux 操作系统:建议以 root 用户身份运行 D-Eyes 工具;

应急响应-detect

D-Eyes 应急响应操作命令

异常文件排查

若扫到恶意文件,会在 D-Eyes 所在目录下自动生成扫描结果 D-Eyes.xlsx 文件,若未检测到恶意文件则不会生成文件,会在终端进行提示。

  1. 默认扫描(默认以 50 个线程扫描脚本当前执行目录)
    命令:D-Eyes de fs
  2. 指定路径扫描(-P 参数)
    单一路径扫描: windows:D-Eyes de fs -p D:\tmp linux:./D-Eyes de fs -p /tmp 多个路径扫描: windows:D-Eyes de fs -p C:\Windows\TEMP,D:\tmp,D:\tools linux:./D-Eyes de fs -p /tmp,/var
  3. 指定线程扫描(-t 参数)
    windows:D-Eyes de fs -p C:\Windows\TEMP,D:\tmp -t 3 linux:./D-Eyes de fs -p /tmp,/var -t 3
  4. 指定单一 yara 规则扫描(-r 参数)
    windows:D-Eyes de fs -p D:\tmp -t 3 -r ./Botnet.Festi.yar linux:./D-Eyes de fs -p /tmp -t 3 -r ./Botnet.Festi.yar

主机信息获取

获取主机的相关信息,包括系统版本、内核版本以及当前用户等信息。 操作命令:D-Eyes de host

异常外联进程排查

提取进程外联 IP 信息,可联动威胁情报平台排查如挖矿/勒索病毒以及异常外联等行为。 操作命令:D-Eyes de netstat

主机若存在远程连接,执行该条命令后会在工具同级目录下自动生成“RemoteConnectionIP.csv”文件,之后可直接将该文件上传到“绿盟 NTI 威胁研判模块”查询主机所有远程连接 IP 信息。 绿盟 NTI 威胁研判模块网址:https://ti.nsfocus.com/advance/#/judge

排查异常主机账户

列出当前主机的所有账户,用于排查异常账户,如隐藏账户。 操作命令:D-Eyes de user

CPU 使用率异常进程排查

提取前 15 个 CPU 使用率高的进程,排查当前时间 CPU 占用率异常的进程。 操作命令:D-Eyes de top

计划任务异常排查

辅助排查异常计划任务,判断是否有异常后门 操作命令:D-Eyes de task

异常自启项排查

辅助排查异常自启项,判断是否有异常后门 操作命令:D-Eyes de autorun

导出主机基本信息

以上操作命令用于精细化定点排查,D-Eyes 也支持 export 命令导出所有相关信息,辅助应急响应人员排查。 操作命令:D-Eyes de export

执行该条命令后会在工具同级目录下自动生成“SummaryBaseInfo.txt”文件,文件内容包括主机系统信息、主机用户列表、主机计划任务及主机 IP 信息。

Linux 主机自检

Linux 命令: ./D-Eyes de check

目前 Linux 自检功能支持以下模块检测: 空密码账户检测、SSH Server wrapper 检测、SSH 用户免密证书登录检测、主机 Sudoer 检测、alias 检测、Setuid 检测、SSH 登录爆破检测、主机 Rootkit 检测、主机历史命令检测、主机最近成功登录信息显示、主机计划任务内容检测、环境变量检测、系统启动服务检测、TCP Wrappers 检测、inetd 配置文件检测、xinetd 配置文件检测、预加载配置文件检测。

sbom(生成物料清单)

D-Eyes 支持环境变量检测和文件检测两种模式,解析包管理工具的相应内容,生成检测对象的 sbom 文件,助力安全左移和软件供应链安全管理相关工作。

根据环境变量提取 sbom

Python 开发运行环境中,可以通过包管理工具创建多套 Python 环境,并对依赖包进行管理,针对 Python 语言,支持 pip 和 conda 的环境变量提取 sbom。 pip 环境变量依赖检测 ./D-Eyes sbom pip conda 环境变量依赖检测 ./D-Eyes sbom conda

配置文件解析

D-Eyes Sbom 模块根据文件名称和文件后缀自动识别属于哪一种语言,哪一种解析类型的文件,解析生成相应的 sbom。

D-Eyes支持语言清单

D-Eyes 支持如下语言及包管理器的相关配置文件解析:

支持语言 包管理器 解析文件
Java Maven pom.xml
Python Pip requirements.txt

sbom提取操作命令

检测指定的目录 ./D-Eyes sbom -p D:\test\mall4cloud-master

检测指定的文件 ./D-Eyes sbom -p D:\test\requirements.txt ./D-Eyes sbom -p D:\test\pom.xml

sbom检测结果输出

生成 json 类型的 sbom 物料清单 ./D-Eyes sbom -p D:\test\mall4cloud-master --type json

生成 xml 类型的 sbom 物料清单 ./D-Eyes sbom -p D:\test\mall4cloud-master --type xml

将sbom结果输出至指定路径 ./D-Eyes sbom -p D:\test\mall4cloud-master --type xml --out D:\test

安全开发者支持

亲爱的开发者,白帽子朋友们, d-eyes 是一款支持应急响应、软件成分分析(SCA)以及基线检查等场景检测的开源工具。自从项目启动以来,我们一直致力于为广大用户提供一个强大、灵活且高效的安全检测平台。 然而,d-eyes 的成长离不开社区的支持和贡献。我们诚挚地邀请更多的开发者加入到 d-eyes 的开发中来,不论是修改现有的 bug,还是提交新的应急响应检测插件。您的每一份贡献,都会让 d-eyes 变得更加完善和强大。 我们希望,通过大家的共同努力,d-eyes 能够支持更多种类的应急响应检测,并且在检测的准确性和覆盖面上不断提升。让我们一起携手,共同打造一个更加安全、可靠的开源工具,造福更多的开发者和用户。 真诚期待您的参与和贡献!

如果您是攻防或者开发爱好者,您可以挑战和使用D-Eyes的更高级自定义能力,也欢迎您积极给予社区贡献插件或规则;

  • D-Eyes工具源码完全开放,您可以审计源码发现漏洞或隐藏后门,欢迎提交给M-SEC社区
  • 如官方发布的二进制程序不支持您的系统,您可以下载源码代码,参照编译指南 自行编译使用,或者提供操作系统环境给M-SEC社区,由M-SEC社区编译打包提供给您。

D-Eyes应急响应detect支持插件化,您也可以编写新的的检测插件提交给M-SEC社区获得积分奖励,插件编写规范请参考应急响应‐插件编写

  • 您也可以申请成为开发者,共同参与M-SEC社区工具建设,守护网络安全,M-SEC社区将为您授予专属称号。

注意事项

在 D-Eyes 工具目录下子目录 yaraRules 中,部分规则会触发杀毒软件告警,因为该目录存放的规则文件与杀软查杀规则相符,会触发杀软告警,直接加白即可,不会存在实际危害。

附录:目前支持的检测规则

目前支持的恶意样本检测种类如下:

勒索:

Babuk、BadEncript、BadRabbit、BCrypt、BlackMatter、Cerber、Chaos、ChupaCabra、Common、Conti、Cryakl、CryptoLocker、cryt0y、DarkSide、Fonix、GandCrab、Globeimposter、Henry217、HiddenTear、LockBit、Locky、Magniber、Makop、MBRLocker、MedusaLocker、Nemty、NoCry、Petya、Phobos、Povlsomware、QNAPCrypt、Sarbloh、Satana、ScreenLocker、Sodinokibi、Stop、Termite、TeslaCrypt、Thanos、Tohnichi、TrumpLocker、Venus、VoidCrypt、Wannacrypt、WannaDie、WannaRen、Zeppelin

挖矿:

Wannamine、ELFcoinminer、givemexyz 家族、Monero、TrojanCoinMiner

僵尸网络:

BlackMoon、Festi、Gafgyt、Kelihos、Mykings

Webshell及蓝军武器:

支持**菜刀、Cknife、Weevely、蚁剑 antSword、冰蝎 Behinder、哥斯拉 Godzilla 等常见工具的 webshell 脚本的检测。

d-eyes's People

Contributors

buding00 avatar ctensor avatar zitn avatar

Stargazers

avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar

Watchers

avatar avatar avatar avatar avatar avatar avatar

Forkers

solitary-sen xiaobai219 ifrai5e zhihuizhiming etxxlq qaz7791869 jerrywong711 crackercat chlinfo404 jummyliu alexmahonefbi gysf666 smile-zjk wangshifeng i900008 testitok xiumulty null-cha 0cat-r getcode2git run0nceex peterzyk exprsi jerrynotme qpwoalskzzz sixatsix hooksafe tom-cooper11 weifangpp pl0m21 defidead chased9166 yuyongxr wangyanan131 msnpersonone box-cft valecasec anfutest freegit9527 fpxtest meimdege medasz evasilence chennqqi zpxlz github-user-6 m4da0 pyking geccccc simplejoker kaliworld iboyb snow842 bozhihouc offsoc sec-fork bug4y0u manlinux liushouhuo evilares happystjava andyoulovexy kkiinnggwweenn chenyansong1 chenyongtaogd lzou2014 pandawall

d-eyes's Issues

Windows环境下编译报错

Windows环境下编译,这个该如何解决

d-eyes/yaraobj

yaraobj\yaraobj.go:14:14: undefined: yara.Rules
yaraobj\yaraobj.go:17:33: undefined: yara.Rules
yaraobj\yaraobj.go:26:57: undefined: yara.MatchRule
yaraobj\yaraobj.go:32:19: undefined: yara.MatchRules
yaraobj\yaraobj.go:40:48: undefined: yara.Rules
yaraobj\yaraobj.go:41:19: undefined: NewCompiler
yaraobj\yaraobj.go:84:45: undefined: yara.Rules
yaraobj\yaraobj.go:94:24: undefined: yara.NewCompiler

False positives on process scan

D-Eyes Detection Result :

[ Risk 1 ]
[pid]:29048 [status]:Detect the risk of Malware Mimikatz Rule 1 | [path]:C:\Program Files\Google\Chrome\Application\chrome.exe [status]:safe | [args]:safe | [network]: null
[ Risk 2 ]
[pid]:15604 [status]:Detect the risk of Malware Mimikatz Rule 1 | [path]:C:\Program Files\Google\Chrome\Application\chrome.exe [status]:safe | [args]:safe | [network]: null

请问下这个怎么解读,是真有问题吗,如果是的话怎么解决?

D-Eyes Detection Result :

[ Risk 1 ]
[pid]:24800 [status]:Detect the risk of Malware Mimikatz Rule 1 | [path]:C:\Program Files (x86)\Mozilla Firefox\firefox.exe [status]:safe | [args]:safe | [network]: [127.0.0.1:51319<->127.0.0.1:51320(ESTABLISHED) 127.0.0.1:51320<->127.0.0.1:51319(ESTABLISHED) 172.19.2.144:7014<->123.56.47.62:443(ESTABLISHED) 172.19.2.144:7346<->112.126.70.115:443(ESTABLISHED) 172.19.2.144:38352<->120.232.169.49:443(ESTABLISHED) 172.19.2.144:39020<->140.82.112.25:443(ESTABLISHED) 172.19.2.144:39186<->34.107.243.93:443(ESTABLISHED) 172.19.2.144:39220<->20.205.243.166:443(ESTABLISHED) 172.19.2.144:39221<->185.199.111.133:443(ESTABLISHED) 172.19.2.144:39222<->185.199.109.154:443(ESTABLISHED) 172.19.2.144:39223<->20.205.243.168:443(ESTABLISHED) 172.19.2.144:39227<->140.82.112.22:443(ESTABLISHED)]

Recommend Projects

  • React photo React

    A declarative, efficient, and flexible JavaScript library for building user interfaces.

  • Vue.js photo Vue.js

    🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.

  • Typescript photo Typescript

    TypeScript is a superset of JavaScript that compiles to clean JavaScript output.

  • TensorFlow photo TensorFlow

    An Open Source Machine Learning Framework for Everyone

  • Django photo Django

    The Web framework for perfectionists with deadlines.

  • D3 photo D3

    Bring data to life with SVG, Canvas and HTML. 📊📈🎉

Recommend Topics

  • javascript

    JavaScript (JS) is a lightweight interpreted programming language with first-class functions.

  • web

    Some thing interesting about web. New door for the world.

  • server

    A server is a program made to process requests and deliver data to clients.

  • Machine learning

    Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.

  • Game

    Some thing interesting about game, make everyone happy.

Recommend Org

  • Facebook photo Facebook

    We are working to build community through open source technology. NB: members must have two-factor auth.

  • Microsoft photo Microsoft

    Open source projects and samples from Microsoft.

  • Google photo Google

    Google ❤️ Open Source for everyone.

  • D3 photo D3

    Data-Driven Documents codes.