
UAC es una útil de compendio de Live Response para Incident Response que utiliza herramientas integradas para automatizar la compendio de artefactos de sistemas similares a Unix. Respeta el orden de volatilidad y los artefactos que se modifican durante la ejecución. Fue creado para entregar y acelerar la compendio de datos y someterse menos del soporte remoto durante los compromisos de respuesta a incidentes.
UAC igualmente se puede ejecutar contra imágenes forenses montadas. Por patrocinio, eche un vistazo a conf/uac.conf
archivo para más detalles.
Puede utilizar sus propias herramientas validadas durante la compendio de artefactos. Se utilizarán en superficie de los integrados proporcionados por el sistema de destino. Por patrocinio refiérase a bin/README.txt
para más información.
Sistemas compatibles
Coleccionistas
Recopile información, calcule el hash MD5 y extraiga cadenas de los procesos en ejecución.
Recopile conexiones de red activas con información de proceso relacionada.
Recopile información de cuentas de sucesor, archivos relacionados con el inicio de sesión y actividades. La serie de archivos y directorios que se recopilarán se puede encontrar en el conf/user_files.conf
expediente.
Recopile información del sistema, archivos de configuración del sistema y detalles relacionados con el kernel. La serie de archivos y directorios que se recopilarán se puede encontrar en el conf/system_files.conf
expediente.
Recopile información de hardware de bajo nivel.
Recopile información sobre los paquetes y el software instalados.
- Bombeo de disco y sistema de archivos (-d)
Recopile información sobre discos, volúmenes y sistemas de archivos.
- Docker y máquina supuesto (-k)
Recopile la información de la ventana acoplable y las máquinas virtuales.
Extraiga información de archivos y directorios utilizando el stat
o stat.pl
útil para crear un archivo de cuerpo. El cuerpo del archivo es un archivo intermedio cuando se crea una columna de tiempo de la actividad del archivo. Es un archivo de texto delimitado por barras verticales («|») que contiene una columna para cada archivo. Se pueden utilizar herramientas Plaso o mactime para repasar este archivo y ordenar el contenido.
Recopile archivos de registro y directorios. La serie de archivos y directorios que se recopilarán se puede encontrar en el conf/logs.conf
expediente.
Recopile archivos y directorios sospechosos. La serie de archivos y directorios que se recopilarán se puede encontrar en el conf/suspicious_files.conf
expediente.
Extensiones
Ejecute la útil chkrootkit (si está acondicionado). Tenga en cuenta que UAC no proporciona la útil chrootkit. Debe tenerlo acondicionado en el sistema de destino o descargarlo y compilarlo, y hacer que su archivo binario inmutable esté acondicionado a través de bin
directorio. Por patrocinio refiérase a bin/README.txt
para más información.
Ejecute la útil fls del kit de detective (si está acondicionado) contra todos los dispositivos de sillar montados. Tenga en cuenta que UAC no proporciona la útil fls. Debe tenerlo acondicionado en el sistema de destino o descargarlo y compilarlo, y hacer que su archivo binario inmutable esté acondicionado a través de bin
directorio. Por patrocinio refiérase a bin/README.txt
para más información.
Recopile hash MD5 para todos los archivos ejecutables. De forma predeterminada, solo se aplicará hash a los archivos de menos de 3072000 bytes (3 MB). Por patrocinio, eche un vistazo a la extensions/hash_exec/hash_exec.conf
custodiar más detalles. Advertencia: esta extensión cambiará la última época de acercamiento de los archivos tocados.
Perfiles
Uno de los siguientes perfiles se seleccionará automáticamente de acuerdo con el nombre del kernel que se ejecuta en el sistema coetáneo. Sin bloqueo, puede separar uno manualmente usando la opción -P. Esto es útil cuando UAC no pudo identificar el perfil correcto para el sistema en ejecución coetáneo o cuando está ejecutando UAC contra una imagen forense montada.
Utilice este perfil para resumir artefactos AIX.
Utilice este perfil para resumir artefactos de sistemas basados en BSD.
por ejemplo, FreeBSD, NetBSD, OpenBSD, NetScaler …
Utilice este perfil para resumir artefactos de sistemas basados en Linux.
* p. ej., Debian, Red Hat, SuSE, Arch Linux, OpenWRT, QNAP QTS, Linux ejecutándose sobre Windows (WSL)…
Utilice este perfil para resumir artefactos macOS.
Utilice este perfil para resumir artefactos de Solaris.
Opciones
El rango de fechas que se utilizarán durante la compendio de registros, archivos sospechosos, archivos de sucesor y archivos ejecutables hash. El intervalo de fechas se utiliza para jalonar la cantidad de datos recopilados mediante el filtrado de archivos mediante los parámetros -atime, -mtime o -ctime de find. De forma predeterminada, UAC buscará archivos cuyos datos se modificaron por última vez (-mtime) O que el estado cambió por última vez (-ctime) adentro del rango de fechas especificado. Por patrocinio refiérase a conf/uac.conf
para más detalles. El formato estereotipado es AAAA-MM-DD para una época de inicio y sin época de finalización. Para una época de finalización, use AAAA-MM-DD..YYYY-MM-DD.
- Transferencia de archivos de salida (-T)
Transfiera el archivo de salida a un servidor remoto usando scp. El destino debe especificarse en el formulario [user@]host:[path]
. Se recomienda utilizar la autenticación de esencia SSH para automatizar la transferencia y evitar la solicitud de contraseña durante el proceso.
Aumente el nivel de depuración.
Aumenta el nivel de verbosidad.
Permita que UAC lo ejecute un sucesor que no sea root. Tenga en cuenta que la compendio de datos será limitada.
Archivos de configuración
El archivo de configuración principal de UAC.
Directorio o rutas de archivo que el recopilador de registros (-l) buscará y recopilará. Si se agrega una ruta de directorio, todos los archivos y subdirectorios se recopilarán automáticamente. La find
La útil de columna de comandos se utilizará para averiguar archivos y directorios, por lo que los patrones agregados a este archivo deben ser compatibles con la -name
opción. por patrocinio, compruebe find
páginas man para obtener instrucciones.
- conf / suspicious_files.conf
Directorio o rutas de archivo que el recopilador de archivos sospechosos (-f) buscará y recopilará. Si se agrega una ruta de directorio, todos los archivos y subdirectorios se recopilarán automáticamente. La find
La útil de columna de comandos se utilizará para averiguar archivos y directorios, por lo que los patrones agregados a este archivo deben ser compatibles con la -name
opción. por patrocinio, compruebe find
páginas man para obtener instrucciones.
Directorio o rutas de archivo que el recopilador de archivos del sistema (-y) buscará y recopilará. Si se agrega una ruta de directorio, todos los archivos y subdirectorios se recopilarán automáticamente. La find
La útil de columna de comandos se utilizará para averiguar archivos y directorios, por lo que los patrones agregados a este archivo deben ser compatibles con la -name
opción. por patrocinio, compruebe find
páginas man para obtener instrucciones.
Directorio o rutas de archivo que el recopilador de archivos de sucesor (-u) buscará y recopilará. Si se agrega una ruta de directorio, todos los archivos y subdirectorios se recopilarán automáticamente. La find
La útil de columna de comandos se utilizará para averiguar archivos y directorios, por lo que los patrones agregados a este archivo deben ser compatibles con la -name
opción. por patrocinio, compruebe find
páginas man para obtener instrucciones.
Rutas de directorio o archivo que se excluirán de la colección. Si se agrega una ruta de directorio, todos los archivos y subdirectorios se habilitarán automáticamente. La find
La útil de columna de comandos se utilizará para averiguar archivos y directorios, por lo que los patrones agregados a este archivo deben ser compatibles con -path
y -name
opciones. por patrocinio, compruebe find
páginas man para obtener instrucciones.
Uso
UAC (colector de artefactos tipo Unix)
Uso: ./uac COLECCIONISTAS [-e EXTENSION_LIST] [-P PROFILE] [OPTIONS] [DESTINATION]
COLECCIONISTAS:
-a Habilitar todos los recopiladores.
-p Recopila información, calcula el hash MD5 y extrae cadenas de los procesos en ejecución.
-n Recopila conexiones de red activas con información de proceso relacionada.
-u Recopila información de cuentas de sucesor, archivos relacionados con el inicio de sesión y actividades.
-y Recopila información del sistema, archivos de configuración del sistema y detalles relacionados con el kernel.
-w Recopila información de hardware de bajo nivel.
-s Recopila información sobre los paquetes y el software instalados.
-d Recopila información sobre discos, volúmenes y sistemas de archivos.
-k Recopila información de la ventana acoplable y las máquinas virtuales.
-b Extrae información de archivos y directorios usando la útil estadística para crear un archivo de cuerpo.
-l Compilar archivos de registro y directorios.
-f Recopila archivos y directorios sospechosos.
EXTENSIONES:
-e EXTENSION_LIST
Serie de extensiones separadas por comas.
all: habilita todas las extensiones.
chkrootkit: Ejecute la útil chkrootkit.
fls: Ejecute la útil fls de Sleuth Kit.
hash_exec: archivos ejecutables hash.
PERFILES:
-P PROFILE Presionar a UAC a utilizar un perfil específico.
aix: utilice este para resumir artefactos AIX.
bsd: utilice este para resumir artefactos de sistemas basados en BSD.
linux: use este para resumir artefactos de sistemas basados en Linux.
macos: utilice este para resumir artefactos macOS.
solaris: use este para recoger artefactos de Solaris.
OPCIONES:
-R Vencimiento de inicio AAAA-MM-DD o rango AAAA-MM-DD..YYYY-MM-DD
-T DESTINO
Transfiera el archivo de salida a un servidor remoto usando scp.
El destino debe especificarse en el formulario [user@]huésped:[path]
-D Aumentar el nivel de depuración.
-V Aumentar el nivel de verbosidad.
-U Permitir que UAC lo ejecute un sucesor que no sea root. Tenga en cuenta que la compendio de datos será limitada.
-v Número de lectura de impresión.
-h Imprime esta página de síntesis de ayuda.
DESTINO:
Especifique el directorio en el que se guardará la salida.
El predeterminado es el directorio coetáneo.
Producción
Cuando UAC finaliza, todos los datos recopilados se comprimen y el archivo resultante se almacena en el directorio de destino. El archivo comprimido tiene hash (MD5) y el valencia se almacena en un archivo .md5.
Ejemplos de
Ejecute todos los recopiladores en el sistema en ejecución coetáneo y utilice el directorio coetáneo como destino. Las extensiones no se ejecutarán:
./uac -a
Ejecute todos los recopiladores y todas las extensiones contra el sistema en ejecución coetáneo y utilice /tmp
como directorio de destino:
./uac -a -e todo / tmp
Ejecute solo las extensiones hash_exec y chkrootkit contra el sistema en ejecución coetáneo, forzar linux
perfil y uso /mnt/share
como directorio de destino:
./uac -e hash_exec, chkrootkit -P linux / mnt / share
Ejecute solo recopiladores de procesos, hardware y registros contra el sistema en ejecución coetáneo, forzar solaris
perfil, uso /tmp
como directorio de destino y aumentar el nivel de verbosidad:
./uac -p -w -l -P solaris -V / tmp