D-Eyes 工具终端检测与应急响应工具

D-Eyes 工具简介

D-Eyes 为 M-SEC 社区出品的一款终端检测与响应工具，可在如下方面开展支撑：

作为应急响应工具，支持勒索挖矿病毒及 webshell 等恶意样本排查检测，辅助安全工程师应急响应时排查入侵痕迹，定位恶意样本。
作为软件供应链安全检查或 DevSecOps 工具，可提取 web 应用程序开源组件清单（sbom），配合 SCA（如 RyzeSCA），判别引入的组件风险。
作为基线检查工具，辅助检测和排查操作系统配置缺陷；(TODO)
作为资产探测工具，以本机为中心探测可达目标资产。

图片[1]-D-Eyes 工具终端检测与应急响应工具 - 🧑‍💻零信安全社区👩‍💻-🧑‍💻零信安全社区👩‍💻

D-Eyes 通过相应的一级指令，支持应急响应、SCA 以及基线检查等场景，更多功能，期待您的建议，社区将评估和纳入发布计划中。

detect 指令：支持应急响应场景，支持 windows 和 linux 系统的入侵排查；
sbom 指令：支持 Java、Python、PHP、.Net、NodeJS 等应用的 sbom 分析；
benchmark 指令：支持 windows 和 linux 操作系统、常用中间件及数据库的配置缺陷检查，排查隐患。
assets指令：支持给定探测资产目标，或者自动探测和发现周边主机资产及互联网连通性。

工具运行

为保证检测覆盖范围和效果，建议使用高权限用户启动。

Windows 操作系统：建议以管理员身份运行 cmd，之后再输入 D-Eyes 路径运行即可或进入终端后切换到 D-Eyes 程序目录下运行程序。
Linux 操作系统：建议以 root 用户身份运行 D-Eyes 工具；

D-Eyes 应急响应操作命令

异常文件排查

若扫到恶意文件，会在 D-Eyes 所在目录下自动生成扫描结果 D-Eyes.xlsx 文件，若未检测到恶意文件则不会生成文件，会在终端进行提示。

默认扫描(默认以 50 个线程扫描脚本当前执行目录)
命令：D-Eyes de fs
指定路径扫描(-P 参数)
单一路径扫描： windows：D-Eyes de fs -p D:\tmp linux：./D-Eyes de fs -p /tmp 多个路径扫描： windows：D-Eyes de fs -p C:\Windows\TEMP,D:\tmp,D:\tools linux：./D-Eyes de fs -p /tmp,/var
指定线程扫描(-t 参数)
windows：D-Eyes de fs -p C:\Windows\TEMP,D:\tmp -t 3 linux：./D-Eyes de fs -p /tmp,/var -t 3
指定单一 yara 规则扫描(-r 参数)
windows：D-Eyes de fs -p D:\tmp -t 3 -r ./Botnet.Festi.yar linux：./D-Eyes de fs -p /tmp -t 3 -r ./Botnet.Festi.yar

主机信息获取

获取主机的相关信息，包括系统版本、内核版本以及当前用户等信息。操作命令：D-Eyes de host

异常外联进程排查

提取进程外联 IP 信息，可联动威胁情报平台排查如挖矿/勒索病毒以及异常外联等行为。操作命令：D-Eyes de netstat

主机若存在远程连接，执行该条命令后会在工具同级目录下自动生成“RemoteConnectionIP.csv”文件，之后可直接将该文件上传到“绿盟 NTI 威胁研判模块”查询主机所有远程连接 IP 信息。绿盟 NTI 威胁研判模块网址：https://ti.nsfocus.com/advance/#/judge

排查异常主机账户

列出当前主机的所有账户，用于排查异常账户，如隐藏账户。操作命令：D-Eyes de user

CPU 使用率异常进程排查

提取前 15 个 CPU 使用率高的进程，排查当前时间 CPU 占用率异常的进程。操作命令：D-Eyes de top

计划任务异常排查

辅助排查异常计划任务，判断是否有异常后门操作命令：D-Eyes de task

异常自启项排查

辅助排查异常自启项，判断是否有异常后门操作命令：D-Eyes de autorun

导出主机基本信息

以上操作命令用于精细化定点排查，D-Eyes 也支持 export 命令导出所有相关信息，辅助应急响应人员排查。操作命令：D-Eyes de export

执行该条命令后会在工具同级目录下自动生成“SummaryBaseInfo.txt”文件，文件内容包括主机系统信息、主机用户列表、主机计划任务及主机 IP 信息。

Linux 主机自检

Linux 命令： ./D-Eyes de check

目前 Linux 自检功能支持以下模块检测：空密码账户检测、SSH Server wrapper 检测、SSH 用户免密证书登录检测、主机 Sudoer 检测、alias 检测、Setuid 检测、SSH 登录爆破检测、主机 Rootkit 检测、主机历史命令检测、主机最近成功登录信息显示、主机计划任务内容检测、环境变量检测、系统启动服务检测、TCP Wrappers 检测、inetd 配置文件检测、xinetd 配置文件检测、预加载配置文件检测。

附录：目前支持的检测规则

目前支持的恶意样本检测种类如下：

勒索：

Babuk、BadEncript、BadRabbit、BCrypt、BlackMatter、Cerber、Chaos、ChupaCabra、Common、Conti、Cryakl、CryptoLocker、cryt0y、DarkSide、Fonix、GandCrab、Globeimposter、Henry217、HiddenTear、LockBit、Locky、Magniber、Makop、MBRLocker、MedusaLocker、Nemty、NoCry、Petya、Phobos、Povlsomware、QNAPCrypt、Sarbloh、Satana、ScreenLocker、Sodinokibi、Stop、Termite、TeslaCrypt、Thanos、Tohnichi、TrumpLocker、Venus、VoidCrypt、Wannacrypt、WannaDie、WannaRen、Zeppelin