如何使用Rastrea2r快速实现IoC的收集和分类

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

工具

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

如何使用Rastrea2r快速实现IoC的收集和分类

Alpha_h4ck 2023-10-09 22:33:19 148254

本文由 Alpha_h4ck 创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

关于Rastrea2r

Rastrea2r是一款功能强大的开源工具，该工具支持跨平台，能够帮助事件响应人员和SOC分析人员在几分钟之内对可疑系统完成分类，并在数千个终端节点上搜索入侵威胁指标IoC。为了解析和收集远程系统中我们所感兴趣的威胁内容（包括内存转储），Rastrea2r可以跨多个终端节点来执行系统内部工具、命令和其他第三方工具（包括自定义脚本），并将输出结果保存到一个中心化的共享存储中，以便我们执行后续的自动化或手动分析。通过使用客户机/服务器的RESTful API，Rastrea2r还可以使用YARA规则在多个系统的磁盘和内存上查找IoC。

作为一款基于命令行的工具，Rastrea2r可以很容易地集成在McAfee ePO以及其他AV控制台中，这将很大程度上方便事件响应人员和SOC分析人员收集取证信息并寻找IoC。

支持的功能

1、威胁/IoC快速分类；
2、取证信息收集；
3、收集Web浏览器历史记录；
4、支持收集Prefetch数据；
5、内存转储；
6、基于Yara规则实现磁盘扫描；
7、基于Yara规则实现内存进程扫描；

工具运行流程

工具依赖

yara-python==3.7.0
psutil==5.4.6
Requests=2.19.1
Pyinstaller=3.3.1

工具下载

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

$git clone https://github.com/rastrea2r/rastrea2r.git

$cd rastrea2r

工具所需的其他依赖组件可以直接在一个虚拟环境中通过提供的makefile文件来完成安装。

创建一个包含所有工具依赖组件的虚拟环境：

$make venv

//Upon successful creation of the virtualenvironment, enter the virtualenvironment as instructed, for ex:

$source /Users/ssbhat/.venvs/rastrea2r/bin/activate

工具帮助信息

$python rastrea2r_windows.py -h

usage: rastrea2r_windows.py [-h] [-v] {yara-disk,yara-mem,triage,memdump,triage,web-hist,prefetch} ...

 

Rastrea2r RESTful remote Yara/Triage tool for Incident Responders

 

positional arguments:  {yara-disk,yara-mem,triage,memdump,triage,web-hist,prefetch}

 

modes of operation

 yara-disk            对磁盘文件/目录对象执行Yara扫描

 yara-mem            对内存中正在运行的进程执行Yara扫描

 memdump            从终端节点获取内存转储

 triage                从终端节点收集分类信息

 web-hist             生成指定用户账号的Web浏览器历史记录

 prefetch             生成prefetch数据视图

 collect               从终端节点获取取证信息

 

 

optional arguments:

 -h, --help            显示工具帮助信息

 -v, --version          显示工具版本信息和退出

 

 

Further more, the available options under each command can be viewed by executing the help option. i,e

 

$python rastrea2r_windows.py yara-disk -h

usage: rastrea2r_osx.py yara-disk [-h] [-s] path server rule

 

positional arguments:

path          要扫描的文件或目录路径

server        rastrea2r REST 服务器

rule          REST 服务器的Yara规则

 

optional arguments:

-h, --help    显示帮助信息和退出

-s, --silent   静默输出模式

工具运行演示

以macOS为例：

$cd src/rastrea2r/windows/

$python rastrea2r_windows.py yara-disk /opt http://localhost example.yara

以Windows为例：

$rastrea2r.exe collect tools.myserver.com data.myserver.com

工具使用演示视频

演示视频1：【基于命令行使用Rastrea2r实现事件响应和分类】

演示视频2：【基于命令行使用Rastrea2r执行远程Yara扫描】

演示视频3：【Rastrea2r整合McAfee ePO使用-客户端任务&执行】

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Rastrea2r：【GitHub传送门】

参考资料

http://rastrea2r.readthedocs.io/
https://www.blackhat.com/us-18/arsenal/schedule/#rastrea2r-reloaded-collecting-38-hunting-for-iocs-with-gusto-and-style-12103
https://www.blackhat.com/us-16/arsenal.html#rastrea2r
https://www.youtube.com/watch?v=0PvBsL6KKfA&feature=youtu.be&a