Venator – macOS恶意活动检测工具
2023-5-9 09:10:48 Author: 编码安全研究(查看原文) 阅读量:14 收藏

Venator

Venator 是一个用于主动检测并收集macOS数据的 python 工具,获得数据后供分析哪些是恶意活动,macOS几乎很少有类似的工具。使用原生 macOS python 版本(2.7. x)开发,支持 High Sierra 和 Mojave。

Venator安装使用

$ git clone https://github.com/richiercyrus/Venator.git$ Venator.py -h

注意该脚本需要root权限才能运行。

相关介绍:https://posts.specterops.io/introducing-venator-a-macos-tool-for-proactive-detection-34055a017e56


下面是 Venator 模块和每个模块包含的数据。一旦脚本运行结束将提供一个 JSON 文件,以便进一步分析。您可以通过以下方式在 JSON 文件中按模块搜索相关信息: module:<name of module>

system_info:

  • hostname

  • kernel

  • kernel_release

launch_agents:

  • label

  • program

  • program_arguments

  • signing_info

  • hash

  • executable

  • plist_hash

  • path

  • runAtLoad

  • hostname

launch_daemons:

  • label

  • program

  • program_arguments

  • signing_info

  • hash

  • executable

  • plist_hash

  • path

  • runAtLoad

  • hostname

users:用户

  • users

  • hostname

safari_extensions:

  • extension name

  • apple_signed

  • developer_identifier

  • extension_path

  • hostname

chrome_extensions:

  • extension_directory_name

  • extension_update_url

  • extension_name

  • hostname

firefox_extensions:

  • extension_id

  • extension_update_url

  • extension_options_url

  • extension_install_date

  • extension_last_updated

  • extension_source_uri

  • extension_name

  • extension_description

  • extension_creator

  • extension_homepage_url

  • hostname

install_history:

  • install_date

  • display_name

  • package_identifier

  • hostname

cron_jobs:定时任务

  • user

  • crontab

  • hostname

emond_rules:

  • rule

  • path

  • hostname

environment_variables:

  • hostname

  • variable:value

periodic_scripts:

  • hostname

  • periodic_script:"content of script"

current_connections:

  • process_name

  • process_id

  • user

  • TCP_UDP

  • connection_flow

  • hostname

sip_status:

  • sip_status

  • hostname

gatekeeper_status:

  • gatekeeper_status

  • hostname

login_items:

  • hostname

  • application

  • executable

  • application_hash

  • signature

applications:

  • hostname

  • application

  • executable

  • application_hash

  • signature

event_taps:

  • eventTapID

  • tapping_process_id

  • tapping_process_name

  • tapped_process_id

  • enabled

  • hostname

bash_history:

  • user

  • bash_commands

  • hostname

shell_startup:

  • user

  • hostname

  • shell_startup_filename

  • shell_startup_data

侵权请私聊公众号删文

   学习更多技术,关注我:   

觉得文章不错给点个‘再看’吧


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDY1MDc2Mg==&mid=2247503206&idx=1&sn=2e3d24b1b1bbf64a843401431550ac37&chksm=ce649e03f91317150296cef3fd3f2787c29192b3bd224665258f233ccfcf033162faf14c2f02#rd
如有侵权请联系:admin#unsafe.sh