如何使用Trawler在安全事件响应活动中发现攻击者部署的持久化感染机制

Trawler是一款功能强大的PowerShell脚本，可以帮助广大安全研究人员和事件应急响应人员在目标Windows主机上发现潜在的入侵威胁指标IoC，该工具主要针对的是攻击者所部署的持久化机制，其中包括计划任务、服务、注册表修改、启动项和二进制代码修改等。

当前版本的Trawler支持检测MITRE和Atomic红队提出的绝大多数持久化感染技术，后续将会添加更多的持久化技术检测方案。

功能介绍

1、支持扫描Windows操作系统中的各种持久性技术； 2、带有MITRE Technique和 Investigation Jumpstart Metadata数据的CSV输出； 3、提供了安全分析和缓解方案指导文档； 4、每一次检测都会引入动态风险分配机制； 5、适用于Windows 10/Server 2012 | 2016 | 2019 | 2022常见Windows配置的内置允许列表，以减少噪音； 6、支持从企业环境镜像（快照）中捕捉持久化元数据，以便在运行时用作动态允许列表； 7、通过驱动器重新定位分析装载的磁盘镜像。

工具下载

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/joeavanzato/Trawler.git

命令行接口CLI参数

-scanoptions：用Tab键浏览可能的检测，并使用逗号分隔的术语选择子集（例如.\travers.ps1-scanoptions Services，Processes）；

-quiet：将检测输出结果简化后打印到命令行终端；

-snapshot：捕获当前系统的“持久性快照”，默认为“$PSScriptRoot\snapshot.csv”；

-snapshotpath：定义存储快照的文件路径；

-outpath：定义存储检测输出结果的自定义文件路径，默认为"$PSScriptRoot\detections.csv"；

-loadsnapshot：定义要加载为allow-list引用的现有快照文件路径；

-drivetarget：定义已安装目标驱动器的变量，例如.\trawler.ps1 -targetdrive "D:"

（向右滑动，查看更多）

工具使用

广大研究人员可以直接以管理员权限运行PowerShell终端，并运行下列one-liner即可：

iex ((New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/joeavanzato/Trawler/main/trawler.ps1'))

（向右滑动，查看更多）

工具运行截图

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。