nishLe/Automated-Regsvr32.exe-Threat-Hunting

# Regsvr32 威胁狩猎导出工具 此工具查询 Elasticsearch 中 Windows 主机上可疑的 regsvr32 活动，并将结果导出到 Excel 工作簿，其中包含一个总表以及针对每个规则的查询和验证表。 ## 功能 - 查询 Windows 主机上的 regsvr32 启动事件。 - 应用 11 条检测规则及简短描述。 - 生成包含多个工作表的 XLSX 报告，支持仅输出查询或仅输出验证结果。 - 支持试运行 以打印 Elasticsearch 查询主体。 - 支持使用 Elasticsearch validate API 进行查询验证。 ## 要求 - Python 3.9+ - 已建立索引 Windows 终端遥测数据的 Elasticsearch 集群 Python 软件包： - python-dotenv - elasticsearch - openpyxl ## 设置 1. 在脚本旁边创建一个 .env 文件： ``` ES_URL=https://your-elasticsearch:9200 ES_API_KEY=your_api_key ES_INDEX=your-index-pattern-* VERIFY_CERTS=false ``` 2. 安装依赖项： ``` pip install python-dotenv elasticsearch openpyxl ``` ## 用法 ``` python regsvr32_hunter.py import ``` 时间格式示例： - 秒：10s, 30s - 分钟：5m, 30m - 小时：1h, 6h, 12h, 24h - 天：2d, 7d, 30d - 月：1mo, 3mo, 6mo - 年：1y, 2y - 所有时间：all 可选参数： - --dry-run 打印查询主体并退出 - --validate 使用 Elasticsearch validate API 验证查询 - --query-only 仅导出第一个查询表（跳过验证表） - --validation-only 仅导出验证表（跳过第一个查询表） 示例： ``` python regsvr32_hunter.py import 24h python regsvr32_hunter.py import 7d --query-only python regsvr32_hunter.py import all --validation-only python regsvr32_hunter.py import 1mo --dry-run ``` ## 输出 该工具会在当前目录下写入一个 XLSX 文件： - General_All_Regsvr32（所有 regsvr32 活动总表） - Per_Rule_Detections（跨规则的聚合分类） - 规则 1 .. 规则 11 工作表，包含查询和验证两种视图 输出文件名格式： ``` regsvr32_perrulerule__.xlsx ``` ## 注意事项 - 脚本需要 ES_URL 和 ES_API_KEY。如果缺失则退出。 - VERIFY_CERTS 是可选的；设置为 true 以验证 TLS 证书。 - 由于 Excel 限制，工作表名称将被截断为 31 个字符。 ## 规则覆盖范围 (1-11) 1. Scriptlet/远程执行 (/i: + scrobj.dll/URL/UNC/.sct) 2. 非系统路径 DLL 3. 非标准扩展名 4. 双扩展名伪装 5. 网络活动/连接 6. 可疑的父进程 7. 未签名 DLL 8. 由 regsvr32 生成的子进程 9. regsvr32 未签名或不受信任的签名 10. SMB 共享远程执行 11. 重命名的 regsvr32 ## 故障排除 - 使用 --dry-run 确认查询。 - 使用 --validate 识别无效的查询主体或映射问题。 - 确保您的索引包含 process.name、process.command_line 和 event.type 等字段。

标签：BurpSuite集成, Conpot, Elasticsearch, Excel导出, LOLBin, Regsvr32, Windows安全, 命令行审计, 检测规则, 混合加密, 红队对抗, 网络资产发现, 自动化报告, 蓝队防御, 逆向工具