Apt-Hunter: Caça de ameaças

APT-Hunter é uma ferramenta especializada na caça a ameaças, destinada a analisar logs de eventos do Windows. Seu principal objetivo é detectar movimentos de APTs (Advanced Persistent Threats) que se escondem entre os inúmeros eventos registrados no sistema, ajudando a reduzir significativamente o tempo necessário para identificar atividades suspeitas em uma análise forense.

Irei utilizar o Parrot Security 6.0 para a desmonstração dessa ferramenta fantástica. O método de instação consiste em baixar o repositório que se encontra no github.

$ git clone https://github.com/ahmedkhlief/APT-Hunter
$ cd APT-Hunter/
$ sudo python3 -m pip install -r requirements.txt

Após efetuar a instalação das dependências necessárias, agora podemos realizar uma análise da seguinte maneira:

$ sudo python3 APT-Hunter.py -p ../EVTX-ATTACK-SAMPLES/Discovery/  
-o Discovery_analysis -allreport

• -p: Será a pasta contendo um arquivo .evtx ou podendo ser utilizado uma pasta com vários logs de eventos do Windows.
• -o: Define a pasta de saída para gravar os arquivos de análise.
• -allreport: Exporta o relatório de forma mais detalhada.

Finalizando a análise, o script irá gerar os seguintes arquivos no formato de .csv e .xlsx:

Vendo o conteúdo que se encontra no arquivo .xlsx por ser o principal, podemos encontrar o relatório completo:

Os logs são classificados como High, Low, Critical e Medium, além de serem mapeados com as técnicas do Mitre Att&ck.

Também é possível verificar na planilha a aba Security Authentication Summary as autenticações que ocorreram com êxito e falhas:

Diante desses dados obtidos, pode ser utilizado o Timeline Explorer para efetuar uma análise retroativa dos eventos importados.

Referências:

https://github.com/ahmedkhlief/APT-Hunter

https://www.socinvestigation.com/apt-hunter-threat-hunting-tool-for-windows-event-logs/