PyrsistenceSniper - Novi alat za detekciju 117 tehnika perzistentnosti malvera na Windows, Linux i macOS
Hexastrike je izdao PyrsistenceSniper, alat za detekciju 117 tehnika perzistentnosti malvera na Windows, Linux i macOS platformama.
Šta se desilo?
Kompanija Hexastrike predstavila je PyrsistenceSniper, napredan forenzički alat namenjen analitičarima koji se bave sajber bezbednošću. Radi se o Python-baziranom rešenju koje omogućava brzu identifikaciju 117 različitih mehanizama perzistentnosti na tri glavne platforme - Windows, Linux i macOS. Alat funkcioniše offline i ne zahteva pristup živim sistemima, već radi direktno sa montiranim disk imejdžima, Velociraptor kolekcijama i KAPE dump-ima.
Koga pogađa?
PyrsistenceSniper je prvenstveno namenjen forenzičkim analitičarima, incident response timovima i threat hunterima koji se suočavaju sa istraživanjem kompromitovanih sistema. Alat je koristan za IT bezbednosnjake i digitalne forenzičare koji trebaju brzo da identifikuju tragove napada i osumnjičene mehanizme perzistentnosti na računarima u Vašoj organizaciji.
Kako se zaštititi?
- Redovno vršite forenzičku analizu kompromitovanih ili sumnjivих sistema korišćenjem specijalizovanih alata
- Koristitе YAML-bazovane profile za prilagođene pravile detekcije prema specifičnim potrebama vaše organizacije
- Automatizujte proveru autentičnosti datoteka i SHA-256 heš vrednosti kako biste razdvojili legitimne sistemske datoteke od malvera
- Organizujte redovne obuke za incident response timove kako bi se osposobili za korišćenje modernih forenzičkih alata
- Primenjujte blok pravila sa visokim prioritetom kako biste smanjili lažne alarme tokom analize
Tehnički detalji
PyrsistenceSniper koristi libregf biblioteku za nativno parsiranje Windows registra i omogućava sveobuhvatnu skeniranje sistema u manje od 30 sekundi. Alat prepoznaje signaturu Authenticode i klasifikuje LOLBin indikatore. Mapiran je na 9 MITRE ATT&CK tehnika uključujući T1037 (Boot and Logon Initialization), T1053 (Scheduled Task/Job), T1543 (System Process Modification), T1546 (Event Triggered Execution) i T1547 (Boot/Logon Autostart). Rezultate moguće eksportovati u više formata - konzolu, CSV, HTML i XLSX. Dostupan je i Docker kontejner za instalaciju bez potrebe za lokalnom Python konfigracijom.
Preporuka Sajber Radara
PyrsistenceSniper predstavlja važno oružje u arzenalu incident response timova i forenzičara. Preporučujemo svim organizacijama da razmotre integraciju ovog alata u svoje procedure istraživanja bezbednosnih incidenata, posebno ako se redovno suočavate sa napadima koji koriste perzistentne mehanizme za zadržavanje pristupa.
