Tutoriales

FastFinder: Respuesta a incidentes – Buscador rápido de archivos sospechosos

Buscador rápido es una herramienta liviana creada para la búsqueda de amenazas, análisis forense en vivo y clasificación en plataformas Windows y Linux. Se centra en la enumeración de puntos finales y la búsqueda de archivos sospechosos en función de varios criterios:

  • ruta/nombre del archivo
  • suma de comprobación md5 / sha1 / sha256
  • coincidencia de contenido de cadena simple
  • condición(es) de contenido complejo basado en YARA

¡Preparado para la batalla!

  • fastfinder ha sido probado en casos reales en múltiples casos de uso de CERT, CSIRT y SOC
  • El directorio de ejemplos ahora incluye malwares reales/comportamientos sospechosos o ejemplos de análisis de vulnerabilidades

Instalación

La versión compilada de este software está disponible. Si desea compilar a partir de fuentes, podría ser un poco complicado porque depende en gran medida de ir-yara y compilación CGO. De todos modos, encontrará una documentación detallada para Windows y para Linux.

Uso

_ _ _ _ _
|_ /\ /` | | | |\ | | \ |_ |) | /~~\ ./ | | | | | |/ |_ | \
2021-2022 | Jean-Pierre GARNIER | @codeyourweb
https://github.com/codeyourweb/fastfinder
uso: buscador rápido [-h|–help] [-c|–configuration “”] [-b|–build
“”] [-o|–output “”] [-n|–no-window]
[-u|–no-userinterface] [-v|–verbosity ]
[-t|–triage]
Respuesta a incidentes: buscador rápido de archivos sospechosos
Argumentos:
-h –help Imprimir información de ayuda
-c –configuration Archivo de configuración de búsqueda rápida. Defecto:
-b –build Muestra un paquete independiente con configuración y
reglas en un solo binario
-o –salida Guardar registros de fastfinder en el archivo especificado
-n –no-window Ocultar ventana de búsqueda rápida
-u –no-userinterface Ocultar interfaz de usuario avanzada
-v –verbosidad Verbosidad del registro del archivo
| 4: Solo alerta
| 3: Alerta y errores
| 2: Alertas, errores y operaciones de E/S
| 1: verbosidad completa)
. Predeterminado: 3
-t –triage Modo de clasificación (ejecución infinita: escanea cada archivo nuevo en
los directorios de ruta de entrada). Predeterminado: falso

LEER  Voxel Doom trae los beneficios de los vóxeles al DOOM original

Dependiendo de dónde esté buscando archivos, Buscador rápido podría usarse con derechos de administrador O de usuario simple.

Escanea y exporta coincidencias de archivos según tus necesidades

ejemplos de configuración están disponibles allí

aporte:
sendero: [] # hacer coincidir la ruta del archivo Y/O el nombre del archivo basado en una cadena simple
contenido:
grep: [] # hacer coincidir el valor de la cadena literal dentro del contenido del archivo
yara: [] # use la regla yara y especifique las rutas de las reglas para una búsqueda de patrones más compleja (comodines/regex/condiciones)
suma de control: [] # analizar md5/sha1/sha256 en el contenido del archivo
opciones:
contentMatchDependsOnPathMatch: true # si es verdadero, las rutas son un filtro previo para las búsquedas de contenido. Si es falso, las rutas y el contenido generan coincidencias
findInHardDrives: true # enumera el contenido del disco duro
findInRemovableDrives: true # enumera el contenido de la unidad extraíble
findInNetworkDrives: true # enumera el contenido de la unidad de red
findInCDRomDrives: true # enumera el CD-ROM físico y el iso / vhd montado…
producción:
copyMatchingFiles: true # crea una copia de cada archivo coincidente
base64Files: true # base64 contenido coincidente antes de copiar
filesCopyPath: ” # valor vacío copiará los archivos coincidentes en la carpeta fastfinder.exe
parámetros avanzados:
yaraRC4Key: ” # Las reglas de yara se pueden (des)/cifrar usando la clave RC4 especificada
maxScanFilesize: 2048 # ignorar archivos hasta maxScanFileSize Mb (predeterminado: 2048)
cleanMemoryIfFileGreaterThanSize: 512 # limpia la memoria interna de Fastfinder después de un escaneo pesado de archivos (predeterminado: 512Mb)

Buscar en todas partes o en rutas específicas:

  • usar ‘?’ en rutas para caracteres comodín simples (p. ej., powershe??.exe)
  • use ‘\*’ en las rutas para múltiples caracteres comodín (por ejemplo, \*.exe)
  • Las expresiones regulares también están disponibles, simplemente encierre las rutas con barras (p. ej., /[0-9]{8}\.exe/)
  • También se pueden usar variables de entorno (p. ej., %TEMP%\myfile.exe)

Notas importantes

  • la ruta de entrada siempre es INSENSIBLE a mayúsculas y minúsculas
  • la búsqueda de contenido en cadena (grep) siempre distingue entre mayúsculas y minúsculas
  • las barras invertidas NO DEBEN escaparse (excepto con expresiones regulares) Para obtener más información, eche un vistazo a los ejemplos

Artículo anteriorOh365UserFinder: Python3 O365 Herramienta de enumeración de usuarios

LEER  Archivos de lista RPM que están en un paquete

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba