mandiant/brickstorm-scanner

# BRICKSTORM 入侵指标扫描器 本仓库包含一个用于在 Linux 和 BSD 设备及系统上检测潜在 BRICKSTORM 后门入侵的工具。 该脚本旨在在无法运行或不适合运行 YARA 的系统上复制特定 YARA 规则的逻辑。如需了解有关 BRICKSTORM 活动、UNC5221 以及密切相关的疑似中国威胁集群的更多信息，请阅读我们的完整博客文章： https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign 总之，该工具将： - 尽最大努力识别与已知 BRICKSTORM 特征匹配的文件。 - 扫描指定文件或递归扫描整个目录。 它不会： - 100% 识别出入侵行为。 - 检测 BRICKSTORM 的*所有*变体（它特定于某一条 YARA 规则）。 - 告知您设备是否存在被利用的漏洞。 - 扫描日志、进程或持久化机制等其他 IOC。 随着社区反馈的积累，该工具的检测能力可能会变得更加全面。 如果您遇到问题、有想法或反馈，请[提出 Issue](https://github.com/mandiant/brickstorm-scanner/issues) 或[提交 PR](https://github.com/mandiant/brickstorm-scanner/pulls)。 如果您确认匹配结果为真阳性，可以联系 Mandiant（邮箱：investigations at mandiant dot com）以获取更多帮助。 ## 功能 该扫描器通过检查给定文件中的三个条件来复现 YARA 规则 `G_APT_Backdoor_BRICKSTORM_3`。只有当**所有**条件都满足时，文件才会被标记为“MATCH”（匹配）： 1. **ELF 文件头**：检查文件是否为有效的 ELF 二进制文件。 2. **必需字符串**：在二进制文件中搜索一组必需的 ASCII 和宽字符（UTF-16LE）字符串，包括 `regex, mime, decompress, MIMEHeader, ResolveReference` 以及一个特定的大数字。 3. **十六进制模式**：执行十六进制转储（`xxd`）并搜索与该恶意软件相关的特定 25 字节十六进制模式。 ## 详情 BRICKSTORM 入侵指标 扫描器由 Mandiant 基于从应急响应事件中获取的知识开发。该扫描器的目标是分析文件以查找存在此特定恶意软件的证据。该工具的能力存在局限性，因此，运行该工具不应被视为系统未受入侵的保证。例如，攻击者可能篡改了系统，或者部署了此特定规则未涵盖的变体。 本工具不保证能找到所有入侵证据，或与 BRICKSTORM 相关的所有入侵证据。如果在系统上发现了入侵迹象，组织应对受损系统进行取证检查，以确定事件的范围和程度。本软件按“原样”提供，不对任何用途或目的提供保证或陈述。 ## 用法 您可以直接从本仓库下载独立的 Bash 脚本（`find_brickstorm.sh`）。 IoC 扫描器可以直接在 Linux 或 BSD 设备或系统上运行。该工具将诊断消息写入 STDERR，将结果（匹配项）写入 STDOUT。在典型用法中，您应该将 STDOUT 重定向到文件以供审查。运行该工具必须具有执行权限。 **1. 使脚本可执行**： ``` chmod +x ./find_brickstorm.sh ``` **2. 递归扫描整个目录**：脚本将使用 `find` 扫描指定目录内的所有文件。BRICKSTORM 曾被部署到设备上的多种位置，因此 Mandiant 建议彻底检查整个文件系统。 **注意**：此脚本将遍历所有挂载的文件系统。如果您在具有大型数据存储卷的设备上运行此脚本，请注意指定排除这些卷的路径。 ``` ./find_brickstorm.sh -o logfile.txt /directory/to/scan/ ``` ### 解读结果 对于任何满足所有三个条件的文件，工具将向 STDOUT 输出 `MATCH: `。输出内容为文件的完整路径。 **示例输出**： ``` MATCH: /usr/bin/vami-lighttp MATCH: /tmp/pg_update ``` 如果扫描器识别出潜在匹配，组织应对受损系统进行取证检查，以确定事件的范围和程度。如果您有疑问或需要协助，请联系 investigations at mandiant dot com。 ### 设计 我们以 Bash 脚本形式提供此工具，因为它是许多基于 Linux 的设备（来自 VMware、Ivanti 等供应商）的通用选择，这些设备可能未安装 YARA 或其他安全工具。它使用常见的内置实用程序（如 `grep, xxd, head, sed` 和 `find`）来执行检查。 ### 延伸阅读 有关 Mandiant 和 Google Threat Intelligence Group (GTIG) 关于 BRICKSTORM 及野外利用的更多信息，请参阅： - https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign - 发布于 2025 年 9 月 24 日

标签：AMSI绕过, APT检测, BRICKSTORM, BSD, Cutter, DAST, DNS信息、DNS暴力破解, ELF二进制, IoC扫描器, Mandiant, Shell脚本, UNC5221, YARA规则, 后门检测, 威胁检测, 库, 应急响应, 应用安全, 恶意软件分析, 数字取证, 数据挖掘, 网络安全, 自动化脚本, 自定义DNS解析器, 隐私保护