rabbitstack/fibratus

Fibratus

对手战术检测、防护与狩猎
快速入门 »

文档   •   规则   •   Filaments   •   下载   •   讨论

Fibratus 通过根据基于行为的[规则引擎](https://www.fibratus.io/#/filters/rules)和 [YARA](https://www.fibratus.io/#/yara/introduction) 内存扫描器来审查和判定广泛的系统事件，从而检测、防护并根除高级对手战术。事件也可以被发送到广泛的[输出接收器](https://www.fibratus.io/#/outputs/introduction)或转储到[捕获](https://www.fibratus.io/#/captures/introduction)文件中进行本地检查和取证分析。你可以使用 [filaments](https://www.fibratus.io/#/filaments/introduction) 用你自己的工具库扩展 Fibratus，从而利用 Python 生态系统的强大功能。 简而言之，Fibratus 的核心理念由**实时行为检测**、**内存扫描**和**取证**能力这三大支柱定义。 ### 安装 - 下载最新的 [MSI 安装包](https://github.com/rabbitstack/fibratus/releases)并按照 [UI](https://www.fibratus.io/#/setup/installation) 向导操作，或者 或者通过 `msiexec` 以静默模式安装 ``` $ msiexec /i fibratus-2.4.0-amd64.msi /qn ``` ### 快速入门 - 打开一个命令行提示符 - 使用 `VaultCmd` 工具列出凭据库中的凭据 ``` $ VaultCmd.exe /listcreds:"Windows Credentials" /all ``` `Credential discovery via VaultCmd tool` 规则应该会触发并向 [Eventlog](https://www.fibratus.io/#/alerts/senders/eventlog) 发送告警。在[这里](https://www.fibratus.io/alerts/senders/images/eventlog.gif)查看简短演示。 ### 文档 要充分利用并了解 Fibratus 的功能，请阅读[文档](https://www.fibratus.io)。 ### 规则 检测规则位于此代码库的 [`rules`](/rules) 目录中。CLI 提供了一组 命令用于浏览规则目录、验证规则，或从模板[创建新规则](https://github.com/rabbitstack/fibratus/tree/master/rules#structure)。 要描述目录中的所有规则，请使用 `fibratus rules list` 命令。可以传递 `-s` 标志以按 MITRE 战术和技术显示规则摘要。 ### 代码签名策略 由 [SignPath.io] 提供免费代码签名，证书由 [SignPath Foundation] 提供。所有版本均自动签名。

由 Nedim Šabić Šabić 用 ❤️ 开发

标签：adversary tradecraft, AMSI绕过, CIDR输入, DAST, EDR, ETW, EVTX分析, EVTX分析, Fibratus, Mr. Robot, Python, RFI远程文件包含, Rootkit 检测, SQLite数据库, Windows 安全, YARA, 云计算, 云资产可视化, 内存扫描, 内核监控, 后渗透, 威胁检测, 子域名枚举, 开源安全工具, 恶意软件分析, 无后门, 无文件攻击检测, 无线安全, 日志审计, 流量嗅探, 漏洞利用防护, 系统安全, 网络安全审计, 脆弱性评估, 规则引擎, 逆向工具, 逆向工程平台, 防御规避检测