Fenrir: Σαρωτής για ενδείξεις ευπαθειών IOC στα συστήματα Linux

Το Fenrir είναι ένα script το οποίο επιτρέπει τη σάρωση των συστημάτων Linux, Unix και OSX για τις παρακάτω ενδείξεις ευπαθειών(IOC):

• HashesMD5, SHA1 και SHA256.
• File Namesstring.
• Stringsgrep σε αρχεία.
• C2 Server
• Hot Time Frame.

Τα βασικά χαρακτηριστικά του Fenrir είναι:

• Δεν απαιτείται εγκατάσταση.
• Είναι Bash script.
• Χρησιμοποιούνται κοινά εργαλεία για την εξαγωγή χαρακτηριστικών.
• Προορίζεται να λειτουργεί σε κάθε Linux/ Unix/ OSX με Bash.
• Ελάχιστο αποτύπωμα.
• Τα exclusions επιταχύνουν τη διαδικασία σάρωσης.

Το Fenrir είναι το 3ο εργαλείο μετά από το THOR και το LOKI. Το THOR είναι ένας πλήρως εξοπλισμένος σαρωτής APT με πολλά modules και τύπους εξαγωγής για εταιρικούς πελάτες. Το LOKI είναι ένας δωρεάν σαρωτής IOC που χρησιμοποιεί το YARA. Δοκιμάζεται ακόμη.

SecNewsTV

23.4K subscribers

Περισσότερα... Subscribe!

Στην πράξη το Fenrir:

• Διαβάζει τα αρχεία
• Ελέγχει C2 servers για αποτέλεσμα lsof.
• Ελέγχει για συγκεκριμένα file extensions.
• Τσεκάρει τα ονόματα αρχείου που ταιριάζουν με αρχεία IOC.
• Ελέγχει για συγκεκριμένα strings στα αρχεία.
• Ελέγχει για τιμές κατακερματισμού.