magicsword-io/LOLRMM
GitHub: magicsword-io/LOLRMM
一个社区驱动的远程监控管理(RMM)工具安全风险知识库,帮助安全团队识别、编目和检测可能被威胁行为者滥用的合法 RMM 软件。
Stars: 367 | Forks: 77
# LOLRMM - Living Off the Land Remote Monitoring and Management 🖥️🔍
欢迎来到 LOLRMM (Living Off the Land Remote Monitoring and Management),这是一个由社区驱动的项目,提供了一份精心整理的远程监控与管理 (RMM) 工具列表,这些工具可能会被威胁行为者滥用。我们的使命是帮助安全专业人员随时了解这些工具及其被滥用的可能性,为社区提供这些工具的目录,用于威胁狩猎、检测和预防策略的创建。
## 🌟 主要特性
- 一份全面的 RMM 工具集合,这些工具在历史上曾被威胁行为者滥用
- 结构化的 YAML 文件,描述了每种 RMM 工具的关键细节,包括:
- 工具名称和描述
- 作者和创建/修改日期
- 技术细节(网站、PE 元数据、所需权限等)
- 支持的操作系统和功能
- 已知漏洞
- 安装路径
- 留在磁盘、事件日志、注册表或网络上的痕迹
- 检测方法(包括 Sigma 规则)
- 参考资料和致谢
- 与 Sigma 集成以提供 RMM 工具的检测规则
## 🚀 快速开始
要开始使用 LOLRMM,您可以:
1. 访问 [LOLRMM 网站](https://lolrmm.io/) 浏览目录。
2. 克隆仓库以直接探索 YAML 文件。
3. 使用我们的 API 以 JSON 或 CSV 格式访问数据。
### API 使用示例
要获取 JSON 格式的完整 RMM 工具列表,您可以使用以下 curl 命令:
```
curl https://lolrmm.io/api/rmm_tools.json
```
这将返回一个 JSON 数组,其中包含有关所有编录的 RMM 工具的详细信息。
对于 CSV 格式,只需将扩展名更改为 `.csv`:
```
curl https://lolrmm.io/api/rmm_tools.csv
```
这些 API 提供了一种简单的方法,可将 LOLRMM 数据集成到您的威胁狩猎、检测和预防工作流中。
## 支持 📞
请使用 [GitHub issue tracker](https://github.com/magicsword-io/LOLRMM/issues) 提交 bug 或请求功能。
## 🤝 贡献与提交 PR
通过定期检查更新和为项目做出贡献,保持与 LOLRMM 社区的互动。您的参与将有助于确保项目保持最新状态,并对他人更有价值。
如果您想做出贡献,请遵循以下步骤:
1. Fork 该仓库
2. 为您的更改创建一个新分支
3. 进行更改并将其提交到您的分支
4. 将您的更改推送到您的 fork
5. 向上游仓库发起 Pull Request (PR)
有关更详细的说明,请参阅 CONTRIBUTING.md 文件(如果可用)。要为 RMM 工具创建新的 YAML 文件,请使用 `yaml` 目录中提供的 YAML 模板。
## 🚨 Sigma 检测
LOLRMM 提供 Sigma 检测规则,以帮助您有效检测与 RMM 工具相关的潜在威胁。要详细探索这些规则,请导航至 `detections/sigma/` 目录。
祝您狩猎愉快!🕵️♂️
## 🏗️ 本地构建和测试
### 要求
* [Python 3.10](https://www.python.org/downloads/)
* [Poetry](https://python-poetry.org/docs/#installation)
* [Node.js](https://nodejs.org/)
### 本地构建和测试的步骤
1. 克隆仓库:
```
git clone https://github.com/magicsword-io/LOLRMM.git
```
2. 切换到项目目录:
```
cd LOLRMM
```
3. 安装依赖:
```
poetry install
```
4. 激活虚拟环境:
```
poetry shell
```
5. 使用 /yaml 文件夹下的文件构建站点:
```
python bin/site.py
```
6. 切换到网站目录并安装依赖:
```
cd website && pnpm i
```
7. 在本地运行网站:
```
pnpm dev
```
8. 在浏览器中访问 `http://localhost:3000` 查看站点。
加入我们的行列,为各地的组织创造一个更安全、更有保障的数字环境。有 LOLRMM 陪伴在您身边,您将能够充分应对不断变化的网络环境中与 RMM 工具相关的潜在风险。
## 🤖 GitHub Actions
### 目的
`.github/workflows` 目录中的 GitHub workflow 文件可自动化执行各种任务和流程,用于持续集成、持续交付以及其他项目维护活动。
这些 workflow 文件利用 GitHub Actions 基于特定触发器(例如代码推送、Pull Request 或定期间隔)执行预定义的步骤。
### 主要目标
- **自动化测试**:确保所有代码更改在合并到主分支之前通过必要的测试。
- **持续集成**:在不同的环境和配置中自动构建和验证项目。
- **代码质量检查**:运行静态分析工具以保持代码质量并遵守编码标准。
- **部署**:管理到各种环境的部署过程,确保无缝且可靠的发布。
- **徽章更新**:自动更新项目徽章以反映当前状态,例如 Remote Monitoring and Management (RMM) 的数量。
### 前置条件
要创建在您的 GitHub Actions workflow 中使用的 `PUSH_TOKEN`,您需要在 GitHub 上生成一个个人访问令牌 (PAT),然后将其添加到您的仓库机密中。以下是操作方法:
#### 创建个人访问令牌的步骤:
1. **登录 GitHub**:打开您的网络浏览器并登录您的 GitHub 账户。
2. **生成令牌**:
- 点击右上角您的个人资料图片,然后选择“Settings”。
- 在左侧边栏中,点击“Developer settings”。
- 点击“Personal access tokens”,然后点击“Tokens (classic)”。
- 点击“Generate new token”按钮。
- 为令牌设置一个描述性名称,例如 `PUSH_TOKEN`。
- 选择适当的范围。至少需要 `repo` 范围才能访问仓库。
- 点击“Generate token”。
- **重要提示**:立即复制令牌并将其保存在安全的地方。您以后将无法再看到它。
#### 将令牌添加到您的仓库机密中的步骤:
1. **导航到您的仓库**:转到 GitHub 上仓库的主页。
2. **打开设置**:
- 点击“Settings”选项卡。
- 在左侧边栏中,点击“Secrets and variables”,然后点击“Actions”。
3. **添加新机密**:
- 点击“New repository secret”按钮。
- 将机密名称设置为 `PUSH_TOKEN`。
- 将您之前生成的个人访问令牌粘贴到“Value”字段中。
- 点击“Add secret”。
现在,您的工作流文件在运行时将使用仓库机密中的 `PUSH_TOKEN`。
如果您按照这些步骤操作,您的 `PUSH_TOKEN` 应该会被正确创建,并可供您的 GitHub Actions workflow 访问。
标签:AMSI绕过, Cloudflare, GPT, Living Off the Land, MITM代理, MITRE ATT&CK, PE元数据, RMM工具, Sigma规则, YAML, 威胁检测, 安全信息与事件管理(SIEM), 安全库, 安全防御策略, 攻击者滥用, 数字取证, 数据包嗅探, 数据展示, 数据集, 漏洞管理, 目标导入, 端点安全, 红队, 网络安全, 网络痕迹分析, 自动化脚本, 蓝军, 补丁管理, 远程监控管理, 逆向工具, 隐私保护