文件名称:ThreatHunting:寻找威胁的工具
文件大小:35KB
文件格式:ZIP
更新时间:2024-05-18 23:19:22
threat-hunting nexthink YARA
威胁狩猎 我正在发布GPL v3工具,用于在您的组织中寻找威胁。 Nexthink模块 威胁搜寻-潜在的恶意软件下载v1.0.xml 这是一份报告,显示了所有来自常见恶意软件文档技术的对互联网域的呼叫。 大多数端点恶意软件(例如宏,Office漏洞利用等)都使用相同的方法集来下载其有效负载。 当前监视的方法包括: 运行dll32 sh 电源外壳 wscript / cscript Wmic sct远程呼叫 InfDefaultInstall(Inf远程调用) certutil 该报告将显示域。 您可以根据需要更改报告以显示用户,可执行文件,或者调查每个域 在误报方面,您很可能希望添加一条规则,以过滤出发往内部IP范围或环境中的白名单域的流量。 例如,添加打印机时,它将调用rundll32,并击中打印机进行Web流量-这会在报告中触发-只需将其列入白名单即可。
【文件预览】:
ThreatHunting-master
----Threat hunting - Potential malware downloads v1.0.xml(8KB)
----AzureSentinel()
--------ZeroLogon-detect(2KB)
--------FindZeroLogon-DCSync(892B)
----LICENSE(34KB)
----README.md(1KB)
----YARA()
--------Qakbot.yar(6KB)
--------BazarLoaderBehaviour.yar(3KB)
--------WastedGholish.yar(2KB)
--------Zloader.yar(9KB)
--------BazaLoaderBackdoor.yar(17KB)
--------GraceWireTA505.yar(2KB)
--------BlackKingdom.yar(4KB)
--------GenericRansomware.yar(497B)