Hawkeye(鷹眼) 是一款基于golang開發(fā)的安全工具，旨在幫助安全工程師上機(jī)排查時(shí)能夠快速的定位問題，提供排查思路。功能包含外連分析，當(dāng)發(fā)現(xiàn)主機(jī)存在惡意外連時(shí)，并且知道外連地址，能夠快速的定位外連的進(jìn)程，以及進(jìn)程的連接信息。同時(shí)根據(jù)進(jìn)程定位到對(duì)應(yīng)的文件以及常見維持項(xiàng)。該功能適用于常見的外連場(chǎng)景，如挖礦，木馬，后門等。Beacon掃描，適用于主機(jī)存在C2外連場(chǎng)景，該功能能夠快速的掃描主機(jī)上的beacon信息，包括beacon的進(jìn)程信息，beacon的連接信息等。還有主機(jī)信息，服務(wù)信息，啟動(dòng)項(xiàng)信息，日志分析功能等等。

核心功能

1. 外連分析

Hawkeye 提供了強(qiáng)大的惡意外連排查功能，當(dāng)發(fā)現(xiàn)主機(jī)存在異常外連行為時(shí)，可快速完成以下任務(wù)：

定位外連地址對(duì)應(yīng)的進(jìn)程。

查看進(jìn)程連接詳情，進(jìn)一步追蹤其相關(guān)文件和維持項(xiàng)(如啟動(dòng)項(xiàng)、服務(wù)等)。

適用于排查挖礦程序、木馬、后門等常見惡意外連場(chǎng)景。

2. Beacon 掃描

針對(duì)主機(jī)存在的 C2 外連場(chǎng)景，Hawkeye 提供了 Beacon 掃描功能，可快速獲取以下信息：

Beacon 的進(jìn)程信息。

Beacon 的連接詳情。

通過此功能，工程師可快速識(shí)別 C2 控制通信，降低主機(jī)被控制的風(fēng)險(xiǎn)。

3. 主機(jī)信息監(jiān)控

Hawkeye 集成多種主機(jī)信息查看和日志分析功能，具體包括：

用戶信息：查看當(dāng)前主機(jī)用戶，發(fā)現(xiàn)隱藏賬戶或惡意用戶。

計(jì)劃任務(wù)：分析主機(jī)上的計(jì)劃任務(wù)及觸發(fā)時(shí)間，識(shí)別惡意任務(wù)。

服務(wù)與啟動(dòng)項(xiàng)：快速分析主機(jī)上運(yùn)行的服務(wù)及啟動(dòng)項(xiàng)。

日志分析：

登錄成功日志：獲取主機(jī)登錄成功的詳細(xì)記錄，包括用戶名、時(shí)間、IP 地址。

登錄失敗日志：記錄所有登錄失敗信息，識(shí)別異常登錄嘗試。

服務(wù)創(chuàng)建日志：查看服務(wù)創(chuàng)建記錄，包括服務(wù)名稱和路徑。

用戶創(chuàng)建日志：查看新用戶的詳細(xì)信息，幫助識(shí)別可疑賬戶創(chuàng)建行為。

4. 擴(kuò)展功能(計(jì)劃中)

YARA 掃描：即將支持基于 YARA 規(guī)則的進(jìn)程和文件掃描，進(jìn)一步提升排查能力。

更多日志支持：未來將擴(kuò)展日志分析范圍，覆蓋計(jì)劃任務(wù)、PowerShell、RDP 等常見場(chǎng)景。

軟件特點(diǎn)

高效易用：簡(jiǎn)單直觀的界面，幫助安全工程師快速上手。

全面排查：從外連分析到主機(jī)信息監(jiān)控，覆蓋多種排查需求。

靈活擴(kuò)展：支持未來更多功能模塊，滿足復(fù)雜場(chǎng)景的安全需求。

適配多場(chǎng)景：適用于挖礦排查、木馬檢測(cè)、后門清理、C2 通信分析等多種場(chǎng)景。

使用場(chǎng)景

企業(yè)安全運(yùn)維：快速發(fā)現(xiàn)并解決主機(jī)上的安全隱患。

應(yīng)急響應(yīng)：精準(zhǔn)鎖定惡意外連或 C2 控制點(diǎn)，縮短排查時(shí)間。

日常安全監(jiān)控：對(duì)主機(jī)用戶、服務(wù)、計(jì)劃任務(wù)等關(guān)鍵項(xiàng)進(jìn)行實(shí)時(shí)審計(jì)。

更新日志

v3版本，新增多個(gè)功能 Latest

本次更新如下 ：

1、新增主機(jī)活動(dòng)信息
2、服務(wù)、計(jì)劃任務(wù)yara掃描
3、取消啟動(dòng)彈窗，直接進(jìn)入程序界面
4、修復(fù)部分平臺(tái)無法正常退出的bug
5、取消內(nèi)置規(guī)則，將原有內(nèi)置規(guī)則放到程序目錄下的rules文件夾下
6、增加威脅檢索，用戶可以在內(nèi)存中搜索指定字符串
7、優(yōu)化進(jìn)程掃窗口展示功能，將異常項(xiàng)單獨(dú)輸出日志窗口
8、新增部分?jǐn)?shù)據(jù)復(fù)制功能
9、增加sqlserver、powershell、服務(wù)創(chuàng)建異常提示標(biāo)簽