Bash поиск индикаторов компрометации в системе (IOC)

Индикатор компрометации (Indicator of Compromise) - это активность и/или вредоносный объект, обнаруженный в сети, рабочей станции или сервере.

Наиболее распространенным являются контрольный суммы вредоносных объектов (md5, sha1, sha256), IP адреса серверов управления, домены, полный URL или URI (URL-адрес без домена).

Для проверки наличия IOC в системе, можно использовать следующие скрипты. Позволяющие обнаруживать MD5, SHA1, SHA256 или BLAKE2 хеши в системе.

Скрипт поиска одного MD5, SHA1, SHA256 или BLAKE2 в системе

первым параметром указываем алгоритм хеширования md5, sha1, sha256, BLAKE2

вторым параметром указываем хеш

Так же можно изменить путь для поиска в самом скрипте, по умолчанию /var

Пример работы

Запускаем поиск, при обнаружении, скрипт выведет контрольную сумму и полный путь до файла.

d41d8cd98f00b204e9800998ecf8427e - md5 файла нулевой длины.

Скрипт поиска множества MD5, SHA1, SHA256 или BLAKE2 в системе

первым параметром указываем алгоритм хеширования md5, sha1, sha256, BLAKE2

Вторым параметром путь до файла с хешами.

Скрипт использует key-value хранилище для ускорения поиска

Так же можно изменить путь для поиска в самом скрипте, по умолчанию /var

Пример работы.

Предварительно формируем файл с хешами

Запускаем поиск, при обнаружении, скрипт выведет контрольную сумму и полный путь до файла.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий