Tutoriales

FastFinder: Respuesta a incidentes – Buscador rápido de archivos sospechosos

mayo 8, 2022
0 3 2 minutos de lectura
FastFinder: Respuesta a incidentes - Buscador rápido de archivos sospechosos

Buscador rápido es una herramienta liviana creada para la búsqueda de amenazas, análisis forense en vivo y clasificación en plataformas Windows y Linux. Se centra en la enumeración de puntos finales y la búsqueda de archivos sospechosos en función de varios criterios:

  • ruta/nombre del archivo
  • suma de comprobación md5 / sha1 / sha256
  • coincidencia de contenido de cadena simple
  • condición(es) de contenido complejo basado en YARA

¡Preparado para la batalla!

  • fastfinder ha sido probado en casos reales en múltiples casos de uso de CERT, CSIRT y SOC
  • El directorio de ejemplos ahora incluye malwares reales/comportamientos sospechosos o ejemplos de análisis de vulnerabilidades

Instalación

La versión compilada de este software está disponible. Si desea compilar a partir de fuentes, podría ser un poco complicado porque depende en gran medida de ir-yara y compilación CGO. De todos modos, encontrará una documentación detallada para Windows y para Linux.

Uso

_ _ _ _ _
|_ /\ /` | | | |\ | | \ |_ |) | /~~\ ./ | | | | | |/ |_ | \
2021-2022 | Jean-Pierre GARNIER | @codeyourweb
https://github.com/codeyourweb/fastfinder
uso: buscador rápido [-h|–help] [-c|–configuration “”] [-b|–build
“”] [-o|–output “”] [-n|–no-window]
[-u|–no-userinterface] [-v|–verbosity ]
[-t|–triage]
Respuesta a incidentes: buscador rápido de archivos sospechosos
Argumentos:
-h –help Imprimir información de ayuda
-c –configuration Archivo de configuración de búsqueda rápida. Defecto:
-b –build Muestra un paquete independiente con configuración y
reglas en un solo binario
-o –salida Guardar registros de fastfinder en el archivo especificado
-n –no-window Ocultar ventana de búsqueda rápida
-u –no-userinterface Ocultar interfaz de usuario avanzada
-v –verbosidad Verbosidad del registro del archivo
| 4: Solo alerta
| 3: Alerta y errores
| 2: Alertas, errores y operaciones de E/S
| 1: verbosidad completa)
. Predeterminado: 3
-t –triage Modo de clasificación (ejecución infinita: escanea cada archivo nuevo en
los directorios de ruta de entrada). Predeterminado: falso

LEER  Cómo instalar PostgreSQL | Tutorial en español en Linux Centos paso a paso

Dependiendo de dónde esté buscando archivos, Buscador rápido podría usarse con derechos de administrador O de usuario simple.

Publicaciones relacionadas

Escanea y exporta coincidencias de archivos según tus necesidades

ejemplos de configuración están disponibles allí

aporte:
sendero: [] # hacer coincidir la ruta del archivo Y/O el nombre del archivo basado en una cadena simple
contenido:
grep: [] # hacer coincidir el valor de la cadena literal dentro del contenido del archivo
yara: [] # use la regla yara y especifique las rutas de las reglas para una búsqueda de patrones más compleja (comodines/regex/condiciones)
suma de control: [] # analizar md5/sha1/sha256 en el contenido del archivo
opciones:
contentMatchDependsOnPathMatch: true # si es verdadero, las rutas son un filtro previo para las búsquedas de contenido. Si es falso, las rutas y el contenido generan coincidencias
findInHardDrives: true # enumera el contenido del disco duro
findInRemovableDrives: true # enumera el contenido de la unidad extraíble
findInNetworkDrives: true # enumera el contenido de la unidad de red
findInCDRomDrives: true # enumera el CD-ROM físico y el iso / vhd montado…
producción:
copyMatchingFiles: true # crea una copia de cada archivo coincidente
base64Files: true # base64 contenido coincidente antes de copiar
filesCopyPath: ” # valor vacío copiará los archivos coincidentes en la carpeta fastfinder.exe
parámetros avanzados:
yaraRC4Key: ” # Las reglas de yara se pueden (des)/cifrar usando la clave RC4 especificada
maxScanFilesize: 2048 # ignorar archivos hasta maxScanFileSize Mb (predeterminado: 2048)
cleanMemoryIfFileGreaterThanSize: 512 # limpia la memoria interna de Fastfinder después de un escaneo pesado de archivos (predeterminado: 512Mb)

Buscar en todas partes o en rutas específicas:

  • usar ‘?’ en rutas para caracteres comodín simples (p. ej., powershe??.exe)
  • use ‘\*’ en las rutas para múltiples caracteres comodín (por ejemplo, \*.exe)
  • Las expresiones regulares también están disponibles, simplemente encierre las rutas con barras (p. ej., /[0-9]{8}\.exe/)
  • También se pueden usar variables de entorno (p. ej., %TEMP%\myfile.exe)

Notas importantes

  • la ruta de entrada siempre es INSENSIBLE a mayúsculas y minúsculas
  • la búsqueda de contenido en cadena (grep) siempre distingue entre mayúsculas y minúsculas
  • las barras invertidas NO DEBEN escaparse (excepto con expresiones regulares) Para obtener más información, eche un vistazo a los ejemplos

Artículo anteriorOh365UserFinder: Python3 O365 Herramienta de enumeración de usuarios

LEER  # 42 Conexión Linux con Alvaro Nova
Etiquetas
mayo 8, 2022
0 3 2 minutos de lectura

Publicaciones relacionadas

Cómo eliminar archivos enumerados en otro archivo en Linux

Cómo instalar la programación de Python en Alpine Linux

junio 3, 2022

Cómo usar scp / rsync para copiar un archivo con dos puntos (:) en él

marzo 31, 2021

Proteja Apache con el certificado Let’s Encrypt en Rocky Linux

agosto 6, 2021
Lynis - Auditoría de Seguridad en Sistemas Unix o Linux

Lynis – Auditoría de Seguridad en Sistemas Unix o Linux

julio 31, 2022

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba