Bash поиск индикаторов компрометации (IOC) в системе Linux

bash Bash (Bourne Again SHell)

Индикатор компрометации (Indicator of Compromise) - это активность и/или вредоносный объект, обнаруженный в сети, рабочей станции или сервере.

Наиболее распространенным являются контрольный суммы вредоносных объектов md5, sha1, sha256.

Для проверки наличия IOC в системе, можно использовать скрипты ниже, которые позволяют обнаруживать контрольные суммы(MD5, SHA1, SHA256 или BLAKE2)  различных объектов.

Скрипт поиска одного MD5, SHA1, SHA256 или BLAKE2 в системе

Первым параметром указываем алгоритм хеширования md5, sha1, sha256, b2sum (BLAKE2).

Вторым параметром указываем хеш.

Так же можно изменить путь для поиска в самом скрипте, по умолчанию /var (search_dir).

Пример использования

Запускаем поиск, при обнаружении, скрипт выведет контрольную сумму и полный путь до файла.

d41d8cd98f00b204e9800998ecf8427e - md5 файла нулевой длины (пустой файл).

Скрипт поиска MD5, SHA1, SHA256 или BLAKE2 в системе по списку

Первым параметром указываем алгоритм хеширования md5, sha1, sha256, b2sum (BLAKE2)

Вторым параметром путь до файла с хешами.

Скрипт использует key-value хранилище для ускорения поиска.

Так же можно изменить путь для поиска в самом скрипте, по умолчанию /var (search_dir)

Пример работы.

Предварительно формируем файл с хешами

Запускаем поиск, при обнаружении, скрипт выведет контрольную сумму и полный путь до файла.

Комментарии: 0