改使用MozillaInvestigato

MIG是一款由Mozilla开发的分布式取证开源框架。MIG即使检测数千台服务器速度依旧很快，其只专注于在大量的系统中搜索正则表达式和字符串，非常高效。

近来笔者在奥斯丁举办的DFIR峰会上展示MIG时，其中一位与会人员向笔者提出了一个问题 它可以用来检测未知或者伪造的系统么？ 最好的办法就是执行一种检测方法来观则一律为不含税价格察其络，特别是伪造主机的出站连接或者恶意软件建立的一个C C服务。MIG还可以通过检测远程系统的ARP表以及与已知系统的本地MAC地址交叉引用结果来继续探测。在已知系统中任何未配置MAC地址的都可能是伪造代理。

首先，我们需要在已知系统ARP表中检索所有的MAC地址，netstat模块可以通过邻近MAC地址来匹配正则表达式 ^[a-f] （匹配所有的十六进制）来完成这个任务。

$ mig netstat -nm ^[a-f] /tmp/seenmacs

将结果保存到/tmp/seenmacs，并使用一些bash列出独特的MAC地址

$ awk '{print tolower($5)}' /tmp/seenmacs | sort | uniq

00:08:00:85:0b:c2

00:0a:9c:50:b4: 6

00:0a:9c:50:bc:61

00:0c:29:41:90:fb

00:0c:29:a7:41:f7

00:10:db:ff:10:00

00:10:db:ff: 0:00

00:10:db:ff:f0:00

00:21:5 :12:42:c1

接着我们需要检测每一个已经配置MAC地址的已知代理，当然我们可以继续使用netstat模块来完成这个任务。这一次通过-lm来查询本地MAC地址。

现在MACs列表可能已经很长了，使用下面脚本我们将其分为50个一组。

#! /usr/bin/env bash

i=50

input=$1

output=$2

while true

do

echo -n mig netstat $output

for mac in $(awk '{print tolower($5)}' $1|sort|uniq|head -$i|tail -50)

do

echo -n -lm $mac $output

done

echo $output

i=$((i+50)) if [ $i -gt $(awk '{print tolower($5)}' $1|sort|uniq|wc -l) ]

then

exit 0

fi

done

该脚本将netstat命令的最大参数限制为50，参数1调用/tmp/seenmacs，参数2为输出文件。

$ bash /tmp/ /tmp/seenmacs /tmp/migsearchmacs

/tmp/migsearchmacs包含许多MIG netstat指令用于通过已知主机配置接口搜索MAC地址，运行指令并将结果输出到文件

$ for migcmd $(cat /tmp/migsearchmacs); do $migcmd /tmp/migfoundmacs; done

现在我们有一个包含MAC地址文件，以及一个已知系统下配置了MAC地址的文件。在bash中做两个判别式很简单

$ for seenmac in $(awk '{prin还有不少大爷大妈t tolower($5)}' /tmp/seenmacs|sort|uniq); do

hasseen= hasseen=$(grep $seenmac /tmp/migfoundmacs)

if [ $hasseen == ]; then

echo $seenmac is not accounted for

fi

done

00:21:59:96:75:7f is not accounted for

00:21:59:98:d5:bf is not accounted for

00:21:59:9c:c0:bf is not accounted for

00:21:59:9e: c: f is not accounted for

00:22:64:0e:72:71 is not accounted for

00:2 :47:ca:f7:40 is not accounted for

00:25:61:d2:1b:c0 is not accounted for

00:25:b4:1c:c8:1d is not accounted for

自动化检测

定时运行这个程序是个不错的主意哟，下面的脚本能够实现自动化操作，并将最后生成的报告邮寄给你最喜欢的安全团队。

#!/usr/bin/env bash

SEENMACS=$(mktemp)

SEARCHMACS=$(mktemp)

FOUNDMACS=$(mktemp)

echo seen mac addresses are in $SEENMACS

echo search commands are in $SEARCHMACS

echo found mac addresses are in $FOUNDMACS

echo step 1: obtain all seen MAC addresses

$(which mig) netstat -nm ^[a-f] 2 /dev/null | grep 'found neighbor mac' | awk '{print tolower($5)}' | sort | uniq $SEEN

MACSMACCOUNT=$(wc -l $SEENMACS | awk '{print $1}')

echo $MACCOUNT MAC addresses found echo

step 2: build MIG commands to search for seen MAC addresses

i=50

while true;

do

echo -n $i..

echo -n $(which mig) netstat -e 50s $SEARCHMACS

for mac in $(cat $SEENMACS | head -$i | tail -50)

do

echo -n -lm $mac $SEARCHMACS

done

echo -n $FOUNDMACS $SEARCHMACS

if [ $i -gt $MACCOUNT ]

then

break

fi

echo 2 /dev/null $SEARCHMACS

i=$((i+50))

done

echo

echo step : search for MAC addresses configured on local interfaces

bash $SEARCHMACS

sleep 60

echo step 4: list unknown MAC addresses

for seenmac in $(cat $SEENMACS)

do

hasseen=$(grep found local mac $seenmac $FOUNDMACS)

if [ $hasseen == ]; then

echo $seenmac is not accounted for

fi

done

未知MACs列表可以用来研究端点，他们可能是交换器，路由器，或者其他不需要运行MIG代理的络设备。再或者他们可能是伪造端点，这就需要你注意了

白城有没有白癜风医院
徐州哪所医院能治牛皮癣
轻度肝硬化是什么表现