morariuraulandrei-commits/linux-threat-hunter

GitHub: morariuraulandrei-commits/linux-threat-hunter

一款Rust编写的高级Linux主机威胁狩猎框架,集成进程、文件、日志、网络四大检测模块,实现对恶意软件、Rootkit、反弹Shell等威胁的实时检测与MITRE ATT&CK映射。

Stars: 0 | Forks: 0

# ⚡ Linux 威胁狩猎框架 (LTHF)

Rust Linux MIT License MITRE ATT&CK Release

## 功能特性 ### 进程扫描器 - 检测无文件恶意软件 (memfd_create, 匿名映射) - 查找从已删除可执行文件运行的进程 - 识别每个进程的 LD_PRELOAD 注入 - 检测 Webshell (Web 服务器生成的 Shell) - 查找被 ptrace 跟踪的进程 (注入) - 检测从 /tmp、/dev/shm 运行且具有网络连接的进程 - PID 间隙分析,用于内核级进程隐藏 - 挖矿软件检测 (来自临时目录的高 CPU 进程) - 僵尸进程堆积 (Fork 炸弹指标) ### 文件完整性监控器 - 具有白名单的 SUID/SGID 二进制文件检测 - 敏感目录中的全局可写文件 - /tmp、/dev/shm 中的可执行文件 (通过魔数检测 ELF) - /etc/ld.so.preload Rootkit 检测及库哈希 - Crontab 分析,用于检测可疑条目 (curl|bash, base64 解码等) - 对所有用户的 SSH authorized_keys 进行审计 - 内核模块分析,检测 Rootkit 名称 (Diamorphine, Reptile 等) - 检测最近修改的系统二进制文件 - 内核安全参数加固检查 - /etc/shadow 权限审计 ### 日志分析器 - 基于 IP 的 SSH 暴力破解检测 (可配置阈值) - 基于用户名的密码喷洒检测 - Root 账户暴力破解警报 - 特权提升尝试跟踪 (su/sudo 失败) - Bash 历史记录取证分析 (反弹 Shell, 混淆, 反取证) - Syslog 分析: OOM Kill, 段错误, 内核恐慌, USB 插入 - Audit 日志分析: 系统调用失败, 特权变更事件 - 日志篡改检测 (截断/空日志文件) - btmp 分析,用于检测失败登录量 - 活动会话监控 (Root 登录, 并发会话) ### 网络猎手 - 扫描可疑端口 (4444, 31337, Metasploit 默认值, Tor 端口) - 反弹 Shell 检测 (stdin/stdout/stderr 重定向到 Socket) - 通过多 MAC 和多 IP 分析检测 ARP 投毒 - Tor 连接检测 - 混杂模式接口检测 (PROMISC 标志) - 端口扫描检测 (高 SYN_SENT 计数) - 通过香农熵分析检测 DNS 隧道 - 原始数据包套接字监控 - 默认路由劫持检测 - 基于 IOC 列表的 C2 连接匹配 ## 安装 ### 从源代码构建 ``` # 安装 Rust curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh # 克隆并构建 git clone https://github.com/morariuraulandrei-commits/linux-threat-hunter cd linux-threat-hunter cargo build --release sudo cp target/release/lthf /usr/local/bin/ ``` ## 使用 ``` # 完整扫描 sudo lthf scan --all --verbose # 特定模块扫描 sudo lthf scan --processes -v sudo lthf scan --files -v sudo lthf scan --logs -v sudo lthf scan --network -v # 导出报告 sudo lthf scan --all --output report.html --format html sudo lthf scan --all --output findings.json --format json # 交互式 TUI sudo lthf watch ``` ## 安全说明 - 需要Root权限以进行完整扫描 - 该二进制文件没有网络连接 — 100% 离线分析 - 所有 /proc 读取均为只读 — 不修改系统 ## 许可证 MIT License © 2024 morariuraulandrei-commits
标签:0day挖掘, API接口, ARP欺骗, Cloudflare, CSV导出, EDR, Google搜索, MITRE ATT&CK, PB级数据处理, PE 加载器, Rust, SecList, SSH安全, TUI, Webshell检测, Web归档检索, x64dbg, 主机入侵检测, 免杀技术, 内存取证, 内核安全, 反弹Shell检测, 可视化界面, 子域名变形, 安全运维, 持久化检测, 挖矿检测, 无文件恶意软件, 暴力破解检测, 特权提升, 系统加固, 红队行动, 网络流量审计, 脆弱性评估, 自动化部署, 进程扫描, 通知系统