Seatbelt
1.0.0
حزام الأمان هو مشروع C# ينفذ عددًا من "فحوصات السلامة" لاستقصاء المضيف ذات التوجه الأمني ذات الصلة من وجهات النظر الأمنية الهجومية والدفاعية.
قدم البرنامج النصي HostEnum.ps1 الخاص بـ andrewchiles وGet-HostProfile.ps1 الخاص بـ @tifkin_ الإلهام للعديد من القطع الأثرية التي يجب جمعها.
@harmj0y و@tifkin_ هما المؤلفان الأساسيان لهذا التنفيذ.
حزام الأمان مرخص بموجب ترخيص BSD المكون من 3 فقرات.
%&&@@@&&
&&&&&&&%%%, #&&@@@@@@%%%%%%###############%
&%& %&%% &////(((&%%%%%#%################//((((###%%%%%%%%%%%%%%%
%%%%%%%%%%%######%%%#%%####% &%%**# @////(((&%%%%%%######################(((((((((((((((((((
#%#%%%%%%%#######%#%%####### %&%,,,,,,,,,,,,,,,, @////(((&%%%%%#%#####################(((((((((((((((((((
#%#%%%%%%#####%%#%#%%####### %%%,,,,,, ,,. ,, @////(((&%%%%%%%######################(#(((#(#((((((((((
#####%%%#################### &%%...... ... .. @////(((&%%%%%%%###############%######((#(#(####((((((((
#######%##########%######### %%%...... ... .. @////(((&%%%%%#########################(#(#######((#####
###%##%%#################### &%%............... @////(((&%%%%%%%%##############%#######(#########((#####
#####%###################### %%%.. @////(((&%%%%%%%################
&%& %%%%% Seatbelt %////(((&%%%%%%%%#############*
&%%&&&%%%%% v1.2.1 ,(((&%%%%%%%%%%%%%%%%%,
#%%%%##,
Available commands (+ means remote usage is supported):
+ AMSIProviders - Providers registered for AMSI
+ AntiVirus - Registered antivirus (via WMI)
+ AppLocker - AppLocker settings, if installed
ARPTable - Lists the current ARP table and adapter information (equivalent to arp -a)
AuditPolicies - Enumerates classic and advanced audit policy settings
+ AuditPolicyRegistry - Audit settings via the registry
+ AutoRuns - Auto run executables/scripts/programs
azuread - Return AzureAD info
Certificates - Finds user and machine personal certificate files
CertificateThumbprints - Finds thumbprints for all certificate store certs on the system
+ ChromiumBookmarks - Parses any found Chrome/Edge/Brave/Opera bookmark files
+ ChromiumHistory - Parses any found Chrome/Edge/Brave/Opera history files
+ ChromiumPresence - Checks if interesting Chrome/Edge/Brave/Opera files exist
+ CloudCredentials - AWS/Google/Azure/Bluemix cloud credential files
+ CloudSyncProviders - All configured Office 365 endpoints (tenants and teamsites) which are synchronised by OneDrive.
CredEnum - Enumerates the current user's saved credentials using CredEnumerate()
+ CredGuard - CredentialGuard configuration
dir - Lists files/folders. By default, lists users' downloads, documents, and desktop folders (arguments == [directory] [maxDepth] [regex] [boolIgnoreErrors]
+ DNSCache - DNS cache entries (via WMI)
+ DotNet - DotNet versions
+ DpapiMasterKeys - List DPAPI master keys
EnvironmentPath - Current environment %PATH$ folders and SDDL information
+ EnvironmentVariables - Current environment variables
+ ExplicitLogonEvents - Explicit Logon events (Event ID 4648) from the security event log. Default of 7 days, argument == last X days.
ExplorerMRUs - Explorer most recently used files (last 7 days, argument == last X days)
+ ExplorerRunCommands - Recent Explorer "run" commands
FileInfo - Information about a file (version information, timestamps, basic PE info, etc. argument(s) == file path(s)
+ FileZilla - FileZilla configuration files
+ FirefoxHistory - Parses any found FireFox history files
+ FirefoxPresence - Checks if interesting Firefox files exist
+ Hotfixes - Installed hotfixes (via WMI)
IdleTime - Returns the number of seconds since the current user's last input.
+ IEFavorites - Internet Explorer favorites
IETabs - Open Internet Explorer tabs
+ IEUrls - Internet Explorer typed URLs (last 7 days, argument == last X days)
+ InstalledProducts - Installed products via the registry
InterestingFiles - "Interesting" files matching various patterns in the user's folder. Note: takes non-trivial time.
+ InterestingProcesses - "Interesting" processes - defensive products and admin tools
InternetSettings - Internet settings including proxy configs and zones configuration
+ KeePass - Finds KeePass configuration files
+ LAPS - LAPS settings, if installed
+ LastShutdown - Returns the DateTime of the last system shutdown (via the registry).
LocalGPOs - Local Group Policy settings applied to the machine/local users
+ LocalGroups - Non-empty local groups, "-full" displays all groups (argument == computername to enumerate)
+ LocalUsers - Local users, whether they're active/disabled, and pwd last set (argument == computername to enumerate)
+ LogonEvents - Logon events (Event ID 4624) from the security event log. Default of 10 days, argument == last X days.
+ LogonSessions - Windows logon sessions
LOLBAS - Locates Living Off The Land Binaries and Scripts (LOLBAS) on the system. Note: takes non-trivial time.
+ LSASettings - LSA settings (including auth packages)
+ MappedDrives - Users' mapped drives (via WMI)
McAfeeConfigs - Finds McAfee configuration files
McAfeeSiteList - Decrypt any found McAfee SiteList.xml configuration files.
MicrosoftUpdates - All Microsoft updates (via COM)
MTPuTTY - MTPuTTY configuration files
NamedPipes - Named pipe names, any readable ACL information and associated process information.
+ NetworkProfiles - Windows network profiles
+ NetworkShares - Network shares exposed by the machine (via WMI)
+ NTLMSettings - NTLM authentication settings
OfficeMRUs - Office most recently used file list (last 7 days)
OneNote - List OneNote backup files
+ OptionalFeatures - List Optional Features/Roles (via WMI)
OracleSQLDeveloper - Finds Oracle SQLDeveloper connections.xml files
+ OSInfo - Basic OS info (i.e. architecture, OS version, etc.)
+ OutlookDownloads - List files downloaded by Outlook
+ PoweredOnEvents - Reboot and sleep schedule based on the System event log EIDs 1, 12, 13, 42, and 6008. Default of 7 days, argument == last X days.
+ PowerShell - PowerShell versions and security settings
+ PowerShellEvents - PowerShell script block logs (4104) with sensitive data.
+ PowerShellHistory - Searches PowerShell console history files for sensitive regex matches.
Printers - Installed Printers (via WMI)
+ ProcessCreationEvents - Process creation logs (4688) with sensitive data.
Processes - Running processes with file info company names that don't contain 'Microsoft', "-full" enumerates all processes
+ ProcessOwners - Running non-session 0 process list with owners. For remote use.
+ PSSessionSettings - Enumerates PS Session Settings from the registry
+ PuttyHostKeys - Saved Putty SSH host keys
+ PuttySessions - Saved Putty configuration (interesting fields) and SSH host keys
RDCManFiles - Windows Remote Desktop Connection Manager settings files
+ RDPSavedConnections - Saved RDP connections stored in the registry
+ RDPSessions - Current incoming RDP sessions (argument == computername to enumerate)
+ RDPsettings - Remote Desktop Server/Client Settings
RecycleBin - Items in the Recycle Bin deleted in the last 30 days - only works from a user context!
reg - Registry key values (HKLMSoftware by default) argument == [Path] [intDepth] [Regex] [boolIgnoreErrors]
RPCMappedEndpoints - Current RPC endpoints mapped
+ SCCM - System Center Configuration Manager (SCCM) settings, if applicable
+ ScheduledTasks - Scheduled tasks (via WMI) that aren't authored by 'Microsoft', "-full" dumps all Scheduled tasks
SearchIndex - Query results from the Windows Search Index, default term of 'passsword'. (argument(s) == <search path> <pattern1,pattern2,...>
SecPackageCreds - Obtains credentials from security packages
+ SecureBoot - Secure Boot configuration
SecurityPackages - Enumerates the security packages currently available using EnumerateSecurityPackagesA()
Services - Services with file info company names that don't contain 'Microsoft', "-full" dumps all processes
+ SlackDownloads - Parses any found 'slack-downloads' files
+ SlackPresence - Checks if interesting Slack files exist
+ SlackWorkspaces - Parses any found 'slack-workspaces' files
+ SuperPutty - SuperPutty configuration files
+ Sysmon - Sysmon configuration from the registry
+ SysmonEvents - Sysmon process creation logs (1) with sensitive data.
TcpConnections - Current TCP connections and their associated processes and services
TokenGroups - The current token's local and domain groups
TokenPrivileges - Currently enabled token privileges (e.g. SeDebugPrivilege/etc.)
+ UAC - UAC system policies via the registry
UdpConnections - Current UDP connections and associated processes and services
UserRightAssignments - Configured User Right Assignments (e.g. SeDenyNetworkLogonRight, SeShutdownPrivilege, etc.) argument == computername to enumerate
WifiProfile - Enumerates the saved Wifi profiles and extract the ssid, authentication type, cleartext key/passphrase (when possible)
+ WindowsAutoLogon - Registry autologon information
WindowsCredentialFiles - Windows credential DPAPI blobs
+ WindowsDefender - Windows Defender settings (including exclusion locations)
+ WindowsEventForwarding - Windows Event Forwarding (WEF) settings via the registry
+ WindowsFirewall - Non-standard firewall rules, "-full" dumps all (arguments == allow/deny/tcp/udp/in/out/domain/private/public)
WindowsVault - Credentials saved in the Windows Vault (i.e. logins from Internet Explorer and Edge).
+ WMI - Runs a specified WMI query
WMIEventConsumer - Lists WMI Event Consumers
WMIEventFilter - Lists WMI Event Filters
WMIFilterBinding - Lists WMI Filter to Consumer Bindings
+ WSUS - Windows Server Update Services (WSUS) settings, if applicable
Seatbelt has the following command groups: All, User, System, Slack, Chromium, Remote, Misc
You can invoke command groups with "Seatbelt.exe <group>"
Or command groups except specific commands "Seatbelt.exe <group> -Command"
"Seatbelt.exe -group=all" runs all commands
"Seatbelt.exe -group=user" runs the following commands:
azuread, Certificates, CertificateThumbprints, ChromiumPresence, CloudCredentials,
CloudSyncProviders, CredEnum, dir, DpapiMasterKeys,
ExplorerMRUs, ExplorerRunCommands, FileZilla, FirefoxPresence,
IdleTime, IEFavorites, IETabs, IEUrls,
KeePass, MappedDrives, MTPuTTY, OfficeMRUs,
OneNote, OracleSQLDeveloper, PowerShellHistory, PuttyHostKeys,
PuttySessions, RDCManFiles, RDPSavedConnections, SecPackageCreds,
SlackDownloads, SlackPresence, SlackWorkspaces, SuperPutty,
TokenGroups, WindowsCredentialFiles, WindowsVault
"Seatbelt.exe -group=system" runs the following commands:
AMSIProviders, AntiVirus, AppLocker, ARPTable, AuditPolicies,
AuditPolicyRegistry, AutoRuns, Certificates, CertificateThumbprints,
CredGuard, DNSCache, DotNet, EnvironmentPath,
EnvironmentVariables, Hotfixes, InterestingProcesses, InternetSettings,
LAPS, LastShutdown, LocalGPOs, LocalGroups,
LocalUsers, LogonSessions, LSASettings, McAfeeConfigs,
NamedPipes, NetworkProfiles, NetworkShares, NTLMSettings,
OptionalFeatures, OSInfo, PoweredOnEvents, PowerShell,
Processes, PSSessionSettings, RDPSessions, RDPsettings,
SCCM, SecureBoot, Services, Sysmon,
TcpConnections, TokenPrivileges, UAC, UdpConnections,
UserRightAssignments, WifiProfile, WindowsAutoLogon, WindowsDefender,
WindowsEventForwarding, WindowsFirewall, WMI, WMIEventConsumer,
WMIEventFilter, WMIFilterBinding, WSUS
"Seatbelt.exe -group=slack" runs the following commands:
SlackDownloads, SlackPresence, SlackWorkspaces
"Seatbelt.exe -group=chromium" runs the following commands:
ChromiumBookmarks, ChromiumHistory, ChromiumPresence
"Seatbelt.exe -group=remote" runs the following commands:
AMSIProviders, AntiVirus, AuditPolicyRegistry, ChromiumPresence, CloudCredentials,
DNSCache, DotNet, DpapiMasterKeys, EnvironmentVariables,
ExplicitLogonEvents, ExplorerRunCommands, FileZilla, Hotfixes,
InterestingProcesses, KeePass, LastShutdown, LocalGroups,
LocalUsers, LogonEvents, LogonSessions, LSASettings,
MappedDrives, NetworkProfiles, NetworkShares, NTLMSettings,
OptionalFeatures, OSInfo, PoweredOnEvents, PowerShell,
ProcessOwners, PSSessionSettings, PuttyHostKeys, PuttySessions,
RDPSavedConnections, RDPSessions, RDPsettings, SecureBoot,
Sysmon, WindowsDefender, WindowsEventForwarding, WindowsFirewall
"Seatbelt.exe -group=misc" runs the following commands:
ChromiumBookmarks, ChromiumHistory, ExplicitLogonEvents, FileInfo, FirefoxHistory,
InstalledProducts, InterestingFiles, LogonEvents, LOLBAS,
McAfeeSiteList, MicrosoftUpdates, OutlookDownloads, PowerShellEvents,
Printers, ProcessCreationEvents, ProcessOwners, RecycleBin,
reg, RPCMappedEndpoints, ScheduledTasks, SearchIndex,
SecurityPackages, SysmonEvents
Examples:
'Seatbelt.exe <Command> [Command2] ...' will run one or more specified checks only
'Seatbelt.exe <Command> -full' will return complete results for a command without any filtering.
'Seatbelt.exe "<Command> [argument]"' will pass an argument to a command that supports it (note the quotes).
'Seatbelt.exe -group=all' will run ALL enumeration checks, can be combined with "-full".
'Seatbelt.exe -group=all -AuditPolicies' will run all enumeration checks EXCEPT AuditPolicies, can be combined with "-full".
'Seatbelt.exe <Command> -computername=COMPUTER.DOMAIN.COM [-username=DOMAINUSER -password=PASSWORD]' will run an applicable check remotely
'Seatbelt.exe -group=remote -computername=COMPUTER.DOMAIN.COM [-username=DOMAINUSER -password=PASSWORD]' will run remote specific checks
'Seatbelt.exe -group=system -outputfile="C:Tempout.txt"' will run system checks and output to a .txt file.
'Seatbelt.exe -group=user -q -outputfile="C:Tempout.json"' will run in quiet mode with user checks and output to a .json file.
ملاحظة: سيتم إجراء عمليات البحث التي تستهدف المستخدمين المستهدفين للمستخدم الحالي إذا لم يكن مرتفعًا ولجميع المستخدمين إذا كان مرتفعًا.
ملاحظة: تقوم العديد من الأوامر بإجراء نوع من التصفية بشكل افتراضي. يؤدي توفير الوسيطة -full إلى منع تصفية الإخراج. كما ستقوم مجموعة الأوامر all بتشغيل جميع عمليات التحقق الحالية.
على سبيل المثال، سيقوم الأمر التالي بتشغيل جميع عمليات التحقق وإرجاع جميع المخرجات:
Seatbelt.exe -group=all -full
يعمل على التحقق من استخراج البيانات المثيرة للاهتمام حول النظام.
يتم التنفيذ باستخدام: Seatbelt.exe -group=system
| يأمر | وصف |
|---|---|
| AMSIProviders | مقدمي الخدمات المسجلين لـ AMSI |
| مكافحة الفيروسات | برنامج مكافحة الفيروسات المسجل (عبر WMI) |
| AppLocker | إعدادات AppLocker، إذا كانت مثبتة |
| ARPTable | يسرد جدول ARP الحالي ومعلومات المحول (أي ما يعادل arp -a) |
| سياسات التدقيق | تعداد إعدادات سياسة التدقيق الكلاسيكية والمتقدمة |
| AuditPolicyRegistry | إعدادات التدقيق عبر التسجيل |
| التشغيل التلقائي | التشغيل التلقائي للملفات التنفيذية/البرامج النصية/البرامج |
| الشهادات | ملفات الشهادات الشخصية للمستخدم والجهاز |
| شهادة بصمات الأصابع | بصمات الأصابع لجميع شهادات مخزن الشهادات على النظام |
| كريد جارد | تكوين CredentialGuard |
| DNSCache | إدخالات ذاكرة التخزين المؤقت لـ DNS (عبر WMI) |
| دوت نت | إصدارات الدوت نت |
| مسار البيئة | مجلدات البيئة الحالية %PATH$ ومعلومات SDDL |
| متغيرات البيئة | متغيرات بيئة المستخدم الحالية |
| الإصلاحات العاجلة | الإصلاحات العاجلة المثبتة (عبر WMI) |
| عمليات مثيرة للاهتمام | عمليات "مثيرة للاهتمام" - منتجات دفاعية وأدوات إدارية |
| إعدادات الإنترنت | إعدادات الإنترنت بما في ذلك تكوينات الوكيل |
| لفات | إعدادات LAPS، إذا كانت مثبتة |
| LastShutdown | إرجاع التاريخ والوقت لآخر إيقاف تشغيل للنظام (عبر التسجيل) |
| كائنات سياسة المجموعة المحلية | يتم تطبيق إعدادات نهج المجموعة المحلية على الجهاز/المستخدمين المحليين |
| المجموعات المحلية | المجموعات المحلية غير الفارغة، يعرض "الكامل" كافة المجموعات (الوسيطة == اسم الكمبيوتر المطلوب تعداده) |
| المستخدمون المحليون | المستخدمون المحليون، سواء كانوا نشطين/معطلين، وآخر مجموعة من الأشخاص (الوسيطة == اسم الكمبيوتر المطلوب تعداده) |
| جلسات تسجيل الدخول | أحداث تسجيل الدخول (معرف الحدث 4624) من سجل الأحداث الأمنية. الافتراضي هو 10 أيام، الوسيطة == آخر X من الأيام. |
| إعدادات LSA | إعدادات LSA (بما في ذلك حزم المصادقة) |
| تكوينات مكافي | يبحث عن ملفات تكوين McAfee |
| NamedPipes | أسماء توجيهات الإخراج المسماة وأي معلومات ACL قابلة للقراءة |
| ملفات تعريف الشبكة | ملفات تعريف شبكة ويندوز |
| مشاركات الشبكة | مشاركات الشبكة التي كشفها الجهاز (عبر WMI) |
| إعدادات NTLM | إعدادات مصادقة NTLM |
| الميزات الاختيارية | المهام |
| معلومات OS | معلومات نظام التشغيل الأساسية (مثل البنية، وإصدار نظام التشغيل، وما إلى ذلك) |
| PoweredOnEvents | جدول إعادة التشغيل والسكون بناءً على معرفات سجل أحداث النظام 1 و12 و13 و42 و6008. الافتراضي هو 7 أيام، الوسيطة == آخر X من الأيام. |
| بوويرشيل | إصدارات PowerShell وإعدادات الأمان |
| العمليات | تشغيل العمليات بأسماء شركات معلومات الملف التي لا تحتوي على "Microsoft"، و"كامل" يسرد كافة العمليات |
| إعدادات PSSession | تعداد إعدادات جلسة PS من التسجيل |
| جلسات RDP | جلسات RDP الواردة الحالية (الوسيطة == اسم الكمبيوتر المطلوب تعداده) |
| إعدادات RDP | إعدادات خادم/عميل سطح المكتب البعيد |
| SCCM | إعدادات مدير تكوين مركز النظام (SCCM)، إن أمكن |
| خدمات | الخدمات التي تحتوي على أسماء شركات معلومات الملف والتي لا تحتوي على "Microsoft"، تقوم "كاملة" بتفريغ جميع العمليات |
| سيسمون | تكوين Sysmon من التسجيل |
| اتصالات Tcp | اتصالات TCP الحالية والعمليات والخدمات المرتبطة بها |
| امتيازات الرمز المميز | امتيازات الرمز المميز الممكّنة حاليًا (مثل SeDebugPrivilege/etc.) |
| حملات المستخدم العامة | سياسات نظام UAC عبر التسجيل |
| اتصالات Udp | اتصالات UDP الحالية والعمليات والخدمات المرتبطة بها |
| UserRightAssignments | تعيينات حقوق المستخدم التي تم تكوينها (مثل SeDenyNetworkLogonRight، وSeShutdownPrivilege، وما إلى ذلك) الوسيطة == اسم الكمبيوتر المطلوب تعداده |
| WifiProfile | المهام |
| WindowsAutoLogon | معلومات التسجيل التلقائي |
| WindowsDefender | إعدادات Windows Defender (بما في ذلك مواقع الاستبعاد) |
| WindowsEventForwarding | إعدادات إعادة توجيه أحداث Windows (WEF) عبر السجل |
| جدار حماية Windows | قواعد جدار الحماية غير القياسية، تفريغ "كامل" الكل (الوسائط == السماح/رفض/tcp/udp/in/out/domain/private/public) |
| WMIEventConsumer | يسرد مستهلكي أحداث WMI |
| WMIEventFilter | يسرد عوامل تصفية أحداث WMI |
| WMIFilterBinding | يسرد عامل تصفية WMI لربط المستهلك |
| WSUS | إعدادات Windows Server Update Services (WSUS)، إن أمكن |
يعمل على التحقق من استخراج البيانات المثيرة للاهتمام حول المستخدم الذي قام بتسجيل الدخول حاليًا (إذا لم يكن مرتفعًا) أو جميع المستخدمين (إذا لم يكن مرتفعًا).
تم التنفيذ باستخدام: Seatbelt.exe -group=user
| يأمر | وصف |
|---|---|
| الشهادات | ملفات الشهادات الشخصية للمستخدم والجهاز |
| شهادة بصمات الأصابع | بصمات الأصابع لجميع شهادات مخزن الشهادات على النظام |
| وجود الكروم | التحقق من وجود ملفات Chrome/Edge/Brave/Opera المثيرة للاهتمام |
| بيانات الاعتماد السحابية | ملفات بيانات الاعتماد السحابية AWS/Google/Azure |
| CloudSyncProviders | المهام |
| CredEnum | تعداد بيانات الاعتماد المحفوظة للمستخدم الحالي باستخدام CredEnumerate() |
| دير | يسرد الملفات/المجلدات. بشكل افتراضي، يسرد التنزيلات والمستندات ومجلدات سطح المكتب الخاصة بالمستخدمين (الوسيطات == <directory> < Deep> <regex> |
| DpapiMasterKeys | قم بإدراج مفاتيح DPAPI الرئيسية |
| Dsregcmd | المهام |
| ExplorerMRUs | مستكشف الملفات المستخدمة مؤخرًا (آخر 7 أيام، الوسيطة == آخر X أيام) |
| أوامر ExplorerRun | أوامر "تشغيل" المستكشف الأخيرة |
| FileZilla | ملفات التكوين FileZilla |
| وجود فايرفوكس | التحقق من وجود ملفات Firefox المثيرة للاهتمام |
| وقت الخمول | إرجاع عدد الثواني منذ آخر إدخال للمستخدم الحالي. |
| IEFavourites | مفضلة إنترنت إكسبلورر |
| IETabs | افتح علامات تبويب إنترنت إكسبلورر |
| IEURls | عناوين URL المكتوبة في Internet Explorer (آخر 7 أيام، الوسيطة == آخر X أيام) |
| كي باس | المهام |
| محركات الأقراص المعينة | محركات الأقراص المعينة للمستخدمين (عبر WMI) |
| OfficeMRUs | قائمة ملفات Office المستخدمة مؤخرًا (آخر 7 أيام) |
| ون نوت | المهام |
| OracleSQLDeveloper | المهام |
| تاريخ بوويرشيل | يتكرر من خلال كل مستخدم محلي ويحاول قراءة سجل وحدة تحكم PowerShell الخاصة به إذا نجح ذلك فسيقوم بطباعته |
| المعجون HostKeys | مفاتيح المضيف المعجون SSH المحفوظة |
| جلسات المعجون | تكوين المعجون المحفوظ (الحقول المثيرة للاهتمام) ومفاتيح مضيف SSH |
| RDCManFiles | ملفات إعدادات إدارة اتصال سطح المكتب البعيد لـ Windows |
| RDPSavedConnections | اتصالات RDP المحفوظة المخزنة في التسجيل |
| SecPackageCreds | يحصل على بيانات الاعتماد من حزم الأمان |
| تحميلات سلاك | يوزع أي ملفات "Slack-downloads" التي تم العثور عليها |
| سلاكبريسينس | التحقق من وجود ملفات Slack المثيرة للاهتمام |
| SlackWorkspaces | يوزع أي ملفات "slack-workspaces" التي تم العثور عليها |
| سوبر المعجون | ملفات التكوين SuperPutty |
| TokenGroups | المجموعات المحلية والمجالية للرمز المميز الحالي |
| WindowsCredentialFiles | النقط الكبيرة لبيانات اعتماد Windows DPAPI |
| WindowsVault | بيانات الاعتماد المحفوظة في Windows Vault (أي تسجيلات الدخول من Internet Explorer وEdge). |
يقوم بتشغيل كافة الشيكات المتنوعة.
تم التنفيذ باستخدام: Seatbelt.exe -group=misc
| يأمر | وصف |
|---|---|
| إشارات كروميوم المرجعية | يوزع أي ملفات إشارات مرجعية لـ Chrome/Edge/Brave/Opera |
| تاريخ الكروم | يوزع أي ملفات سجل Chrome/Edge/Brave/Opera التي تم العثور عليها |
| ExplicitLogonEvents | أحداث تسجيل الدخول الصريحة (معرف الحدث 4648) من سجل الأحداث الأمنية. الافتراضي هو 7 أيام، الوسيطة == آخر X من الأيام. |
| معلومات الملف | معلومات حول الملف (معلومات الإصدار، والطوابع الزمنية، ومعلومات PE الأساسية، وما إلى ذلك. الوسيطة (الوسائط) == مسار (مسارات) الملف |
| FirefoxHistory | يوزع أي ملفات محفوظات FireFox التي تم العثور عليها |
| المنتجات المثبتة | المنتجات المثبتة عبر التسجيل |
| ملفات مثيرة للاهتمام | ملفات "مثيرة للاهتمام" تتطابق مع أنماط مختلفة في مجلد المستخدم. ملاحظة: يستغرق وقتا غير تافهة. |
| أحداث تسجيل الدخول | أحداث تسجيل الدخول (معرف الحدث 4624) من سجل الأحداث الأمنية. الافتراضي هو 10 أيام، الوسيطة == آخر X من الأيام. |
| لولوباس | يحدد موقع الثنائيات والبرامج النصية التي تعيش خارج الأرض (LOLBAS) على النظام. ملاحظة: يستغرق وقتا غير تافهة. |
| McAfeeSiteList | قم بفك تشفير أي ملفات تكوين McAfee SiteList.xml التي تم العثور عليها. |
| تحديثات مايكروسوفت | كافة تحديثات Microsoft (عبر COM) |
| تنزيلات Outlook | قائمة الملفات التي تم تنزيلها بواسطة Outlook |
| أحداث PowerShell | سجلات كتلة البرنامج النصي PowerShell (4104) مع البيانات الحساسة. |
| الطابعات | الطابعات المثبتة (عبر WMI) |
| أحداث إنشاء العملية | سجلات إنشاء العملية (4688) تحتوي على بيانات حساسة. |
| أصحاب العملية | تشغيل قائمة العمليات غير المتعلقة بالجلسة 0 مع المالكين. للاستخدام عن بعد. |
| سلة المحذوفات | العناصر الموجودة في سلة المحذوفات التي تم حذفها خلال آخر 30 يومًا - تعمل فقط من سياق المستخدم! |
| ريج | وسيطة قيم مفتاح التسجيل (HKLMSoftware بشكل افتراضي) == [المسار] [intDepth] [Regex] [boolIgnoreErrors] |
| RPCmappedEndpoints | تم تعيين نقاط نهاية RPC الحالية |
| المهام المجدولة | المهام المجدولة (عبر WMI) التي لم يتم تأليفها بواسطة "Microsoft"، تقوم "الكاملة" بتفريغ كافة المهام المجدولة |
| فهرس البحث | نتائج الاستعلام من فهرس بحث Windows، المصطلح الافتراضي لـ "كلمة المرور". (الوسيطة (الوسائط) == <مسار البحث> <pattern1,pattern2,...> |
| حزم الأمان | تعداد حزم الأمان المتوفرة حاليًا باستخدام EnumerateSecurityPackagesA() |
| SysmonEvents | سجلات إنشاء عملية Sysmon (1) مع البيانات الحساسة. |
تم التنفيذ باستخدام: Seatbelt.exe -group=GROUPNAME
| الاسم المستعار | وصف |
|---|---|
| الركود | تشغيل الوحدات التي تبدأ بـ "Slack*" |
| الكروم | تشغيل الوحدات التي تبدأ بـ "Chromium*" |
| بعيد | تشغيل الوحدات التالية (للاستخدام ضد نظام بعيد): AMSIProviders، AntiVirus، AuditPolicyRegistry، ChromiumPresence، CloudCredentials، DNSCache، DotNet، DpapiMasterKeys، EnvironmentVariables، ExplicitLogonEvents، ExplorerRunCommands، FileZilla، Hotfixes، InterestingProcesses، KeePass، LastShutdown، LocalGroups، LocalUsers، LogonEvents، LogonSessions، LSASettings، MappedDrives، NetworkProfiles، NetworkShares، NTLMSettings،OptionalFeatures، OSInfo، PoweredOnEvents، PowerShell، ProcessOwners، PSSessionSettings، PuttyHostKeys، PuttySessions، RDPSavedConnections، RDPSessions، RDPsettings، Sysmon، WindowsDefender، WindowsEventForwarding، WindowsFirewall |
الأوامر التي تقبل الحجج تم الإشارة إليها في وصفها. لتمرير وسيطة إلى أمر ما، قم بإحاطة وسيطات الأمر بعلامات اقتباس مزدوجة.
على سبيل المثال، يقوم الأمر التالي بإرجاع 4624 حدث تسجيل دخول لآخر 30 يومًا:
Seatbelt.exe "LogonEvents 30"
يقوم الأمر التالي بالاستعلام عن السجل بعمق على ثلاثة مستويات، مع إرجاع المفاتيح/valueNames/القيم التي تطابق التعبير العادي .*defini.* فقط، وتجاهل أي أخطاء تحدث.
Seatbelt.exe "reg "HKLMSOFTWAREMicrosoftWindows Defender" 3 .*defini.* true"
بإمكان حزام الأمان إعادة توجيه مخرجاته إلى ملف باستخدام الوسيطة -outputfile="C:Pathfile.txt" . إذا كان مسار الملف ينتهي بـ .json، فسيتم تنظيم الإخراج بتنسيق json.
على سبيل المثال، سيقوم الأمر التالي بإخراج نتائج عمليات فحص النظام إلى ملف txt:
Seatbelt.exe -group=system -outputfile="C:Tempsystem.txt"
يمكن تشغيل الأوامر المذكورة بعلامة + في قائمة المساعدة عن بعد على نظام آخر. يتم تنفيذ ذلك عبر WMI عبر الاستعلامات الخاصة بفئات WMI وStdRegProv الخاص بـ WMI لتعداد التسجيل.
لتعداد نظام بعيد، قم بتوفير -computername=COMPUTER.DOMAIN.COM - يمكن تحديد اسم مستخدم وكلمة مرور بديلين باستخدام -username=DOMAINUSER -password=PASSWORD
على سبيل المثال، يقوم الأمر التالي بتشغيل عمليات فحص مركزة عن بعد على نظام بعيد:
Seatbelt.exe -group=remote -computername=192.168.230.209 -username=THESHIREsam -password="yum "po-ta-toes""
تعتبر بنية حزام الأمان معيارية بالكامل، مما يسمح بإسقاط وحدات أوامر إضافية في بنية الملف وتحميلها ديناميكيًا.
يوجد قالب وحدة أوامر تم التعليق عليه على .SeatbeltCommandsTemplate.cs كمرجع. بمجرد إنشائها، قم بإسقاط الوحدة في موقع الملف المنطقي، وقم بتضمينها في المشروع في Visual Studio Solution Explorer، وقم بتجميعها.
نحن لا نخطط لإصدار ثنائيات لحزام الأمان، لذلك سيتعين عليك تجميعها بنفسك.
تم تصميم حزام الأمان وفقًا لـ .NET 3.5 و4.0 مع ميزات C# 8.0 وهو متوافق مع Visual Studio Community Edition. ما عليك سوى فتح المشروع .sln واختيار "تحرير" والإنشاء. لتغيير إصدار .NET Framework الهدف، قم بتعديل إعدادات المشروع وأعد إنشاء المشروع.
يشتمل حزام الأمان على عناصر مجموعة متنوعة، ومقتطفات التعليمات البرمجية C#، وأجزاء من إثبات المفهوم (PoCs) التي تم العثور عليها خلال الأبحاث المتعلقة بقدراته. يتم تمييز هذه الأفكار والمقتطفات والمؤلفين في المواقع المناسبة في التعليمات البرمجية المصدر، وتتضمن ما يلي:
لقد حاولنا بذل العناية الواجبة فيما يتعلق بالاستشهادات، ولكن إذا تركنا شخصًا/شيئًا ما، فيرجى إخبارنا بذلك!
