Hawkeye(鷹眼) 是一款基于golang開發(fā)的安全工具，旨在幫助安全工程師上機排查時能夠快速的定位問題，提供排查思路。功能包含外連分析，當(dāng)發(fā)現(xiàn)主機存在惡意外連時，并且知道外連地址，能夠快速的定位外連的進(jìn)程，以及進(jìn)程的連接信息。同時根據(jù)進(jìn)程定位到對應(yīng)的文件以及常見維持項。該功能適用于常見的外連場景，如挖礦，木馬，后門等。Beacon掃描，適用于主機存在C2外連場景，該功能能夠快速的掃描主機上的beacon信息，包括beacon的進(jìn)程信息，beacon的連接信息等。還有主機信息，服務(wù)信息，啟動項信息，日志分析功能等等。

核心功能

1. 外連分析

Hawkeye 提供了強大的惡意外連排查功能，當(dāng)發(fā)現(xiàn)主機存在異常外連行為時，可快速完成以下任務(wù)：

定位外連地址對應(yīng)的進(jìn)程。

查看進(jìn)程連接詳情，進(jìn)一步追蹤其相關(guān)文件和維持項(如啟動項、服務(wù)等)。

適用于排查挖礦程序、木馬、后門等常見惡意外連場景。

2. Beacon 掃描

針對主機存在的 C2 外連場景，Hawkeye 提供了 Beacon 掃描功能，可快速獲取以下信息：

Beacon 的進(jìn)程信息。

Beacon 的連接詳情。

通過此功能，工程師可快速識別 C2 控制通信，降低主機被控制的風(fēng)險。

3. 主機信息監(jiān)控

Hawkeye 集成多種主機信息查看和日志分析功能，具體包括：

用戶信息：查看當(dāng)前主機用戶，發(fā)現(xiàn)隱藏賬戶或惡意用戶。

計劃任務(wù)：分析主機上的計劃任務(wù)及觸發(fā)時間，識別惡意任務(wù)。

服務(wù)與啟動項：快速分析主機上運行的服務(wù)及啟動項。

日志分析：

登錄成功日志：獲取主機登錄成功的詳細(xì)記錄，包括用戶名、時間、IP 地址。

登錄失敗日志：記錄所有登錄失敗信息，識別異常登錄嘗試。

服務(wù)創(chuàng)建日志：查看服務(wù)創(chuàng)建記錄，包括服務(wù)名稱和路徑。

用戶創(chuàng)建日志：查看新用戶的詳細(xì)信息，幫助識別可疑賬戶創(chuàng)建行為。

4. 擴展功能(計劃中)

YARA 掃描：即將支持基于 YARA 規(guī)則的進(jìn)程和文件掃描，進(jìn)一步提升排查能力。

更多日志支持：未來將擴展日志分析范圍，覆蓋計劃任務(wù)、PowerShell、RDP 等常見場景。

軟件特點

高效易用：簡單直觀的界面，幫助安全工程師快速上手。

全面排查：從外連分析到主機信息監(jiān)控，覆蓋多種排查需求。

靈活擴展：支持未來更多功能模塊，滿足復(fù)雜場景的安全需求。

適配多場景：適用于挖礦排查、木馬檢測、后門清理、C2 通信分析等多種場景。

使用場景

企業(yè)安全運維：快速發(fā)現(xiàn)并解決主機上的安全隱患。

應(yīng)急響應(yīng)：精準(zhǔn)鎖定惡意外連或 C2 控制點，縮短排查時間。

日常安全監(jiān)控：對主機用戶、服務(wù)、計劃任務(wù)等關(guān)鍵項進(jìn)行實時審計。

更新日志

v3版本，新增多個功能 Latest

本次更新如下 ：

1、新增主機活動信息
2、服務(wù)、計劃任務(wù)yara掃描
3、取消啟動彈窗，直接進(jìn)入程序界面
4、修復(fù)部分平臺無法正常退出的bug
5、取消內(nèi)置規(guī)則，將原有內(nèi)置規(guī)則放到程序目錄下的rules文件夾下
6、增加威脅檢索，用戶可以在內(nèi)存中搜索指定字符串
7、優(yōu)化進(jìn)程掃窗口展示功能，將異常項單獨輸出日志窗口
8、新增部分?jǐn)?shù)據(jù)復(fù)制功能
9、增加sqlserver、powershell、服務(wù)創(chuàng)建異常提示標(biāo)簽