s0ld13rr/tarahunter

# Tarahunter v1.0.0 "Chitin Shell" **Tarahunter** 是一款高速、多线程的 APT 狩猎工具，旨在通过 SMB 在 Windows 环境中进行横向移动检测和取证工件发现。该工具最初基于 Taraqan Scanner - ## 主要功能 * **Pass-the-Hash (PtH):** 使用 NTLM 哈希进行认证，无需明文密码。 * **针对性扫描:** 递归搜索通过 YAML 定义的特定位置（例如 `C$\Users\Public`、`ProgramData`）。 * **通配符支持:** 在路径中使用 `*` 自动扩展用户配置文件（例如 `C$\Users\*\Desktop`）。 * **IOC 匹配:** * **文件名模式:** 搜索 Mimikatz、SharpHound 或 Chisel 等工具。 * **SHA256 哈希:** 根据已知的恶意软件签名验证文件完整性。 * **双重扩展名:** 检测诸如 `report.pdf.exe` 的可疑文件。 * **多线程:** 快速并发扫描整个 CIDR 范围。 ## 配置 (`hunt.yaml`) 以简单的 YAML 格式定义您的规则： ``` apt_rules: file_patterns: - "*mimikatz*" - "*sharphound*" - "*adfind*" - "lsass*.dmp" - "nc.exe" - "chisel*" - "temp.ps1" - "setup.exe.config" check_double_extensions: false ioc_hashes: - "92804faaab2175dc501d73e814663058c78c0a042675a8937266357bcfb96c50" targeted_locations: - "C$\\Users\\Public" - "C$\\ProgramData" - "C$\\Users\\*\\Downloads" - "C$\\Users\\*\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup" ``` ## 使用方法 首先您需要构建代码： ``` go build -o tarahunter main.go ``` 基本扫描（密码） ``` ./tarahunter -t 10.0.0.0/8 -u Administrator -d CORP -p P@ssw0rd123 ``` 使用 PtH + 自定义 YAML 配置进行扫描并下载工件 ``` ./tarahunter -t 10.1.0.0/24 -u Administrator -d CORP -H -c your_hunt_config.yaml --download ```

标签：APT猎捕, DNS 解析, EVTX分析, EVTX分析, Golang, HTTPS请求, HTTP工具, IoC扫描, Mimikatz检测, Pass-the-Hash, SMB扫描, Windows取证, 企业安全, 安全编程, 库, 应急响应, 文件完整性校验, 日志审计, 横向移动检测, 白帽工具, 红队工具检测, 网络安全, 网络安全审计, 网络资产管理, 远程认证, 隐私保护