用于攻防中紅隊(duì)/滲透痕跡隱藏的工具

通過在系統(tǒng)日志和文件系統(tǒng)時(shí)間戳上留下零痕跡，在 Linux 漏洞利用/滲透測(cè)試期間覆蓋您的蹤跡。

moonwalk是一個(gè) 400 KB 的單二進(jìn)制可執(zhí)行文件，可以在滲透測(cè)試Unix機(jī)器時(shí)清除您的痕跡。

它保存系統(tǒng)日志利用前的狀態(tài)并恢復(fù)該狀態(tài)，包括利用后的文件系統(tǒng)時(shí)間戳，在 shell 中留下零痕跡。

注意：此工具是開源的，僅用于協(xié)助紅隊(duì)的操作，作者對(duì)任何禁止使用此工具所造成的后果概不負(fù)責(zé)。僅在您有權(quán)測(cè)試的機(jī)器上使用它。

特征

• 小型可執(zhí)行文件：快速開始curl獲取目標(biāo)機(jī)器。

• 快速：在 5 毫秒內(nèi)執(zhí)行所有會(huì)話命令，包括日志記錄、跟蹤清除和文件系統(tǒng)操作。

• 偵察：為了保存系統(tǒng)日志的狀態(tài)，moonwalk找到一個(gè)全局可寫路徑并將會(huì)話保存在一個(gè)點(diǎn)目錄下，該目錄在結(jié)束會(huì)話時(shí)被刪除。

• Shell 歷史記錄：不是清除整個(gè)歷史記錄文件，而是moonwalk將其恢復(fù)為包括調(diào)用moonwalk.

• 文件系統(tǒng)時(shí)間戳：通過將文件的訪問/修改時(shí)間戳恢復(fù)為使用GET命令的方式來隱藏藍(lán)隊(duì)。

安裝

$ curl -L https://github.com/mufeedvh/moonwalk/releases/download/v1.0.0/moonwalk_linux -o moonwalk

(AMD x86-64)

或者

從Releases(https://github.com/mufeedvh/moonwalk/releases)下載可執(zhí)行文件或使用以下命令安裝cargo：

$ cargo install --git https://github.com/mufeedvh/moonwalk.git

安裝 Rust/Cargo:https://rust-lang.org/tools/install

從源代碼構(gòu)建

先決條件：

• 吉特

• 銹

• Cargo（安裝 Rust 時(shí)自動(dòng)安裝）

• AC 鏈接器（僅適用于 Linux，通常預(yù)裝）

$ git clone https://github.com/mufeedvh/moonwalk.git
$ cd moonwalk/
$ cargo build --release

第一個(gè)命令將此存儲(chǔ)庫(kù)克隆到您的本地計(jì)算機(jī)，最后兩個(gè)命令進(jìn)入目錄并以發(fā)布模式構(gòu)建源代碼。

用法

將 shell 安裝到目標(biāo) Unix 機(jī)器后，通過運(yùn)行以下命令啟動(dòng) moonwalk 會(huì)話：

$ moonwalk start

在您進(jìn)行偵察/利用并弄亂任何文件時(shí)，請(qǐng)touch事先獲取文件的時(shí)間戳命令，以便在您訪問/修改它后將其恢復(fù)：

$ moonwalk get ~/.bash_history

后利用，清除您的痕跡并使用以下命令關(guān)閉會(huì)話：

$ moonwalk finish

就是這樣!

下載地址：https://github.com/mufeedvh/moonwalk