UAC

Documentação • Principais recursos • Sistemas operacionais suportados • Usando UAC • Contribuindo • Suporte • Licença

UAC é um script de coleta de resposta ao vivo para resposta a incidentes que faz uso de binários e ferramentas nativas para automatizar a coleta de artefatos de sistemas AIX, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD e Solaris. Ele foi criado para facilitar e agilizar a coleta de dados e depender menos de suporte remoto durante trabalhos de resposta a incidentes.

O UAC lê arquivos YAML dinamicamente e, com base em seu conteúdo, coleta artefatos relevantes. Isso torna o UAC muito personalizável e extensível.

Página de documentação do projeto: https://tclahr.github.io/uac-docs

• Execute em qualquer lugar sem dependências (não requer instalação).
• Coleções e artefatos personalizáveis ​​e extensíveis.
• Respeite a ordem de volatilidade durante a coleta de artefatos.
• Colete informações sobre os processos atuais em execução (incluindo processos sem binário no disco).
• Hash de processos em execução e arquivos executáveis.
• Extraia o status de arquivos e diretórios para criar um bodyfile.
• Colete dados, arquivos de configuração e logs específicos do sistema e do usuário.
• Adquira memória volátil de sistemas Linux usando diferentes métodos e ferramentas.

O UAC é executado em qualquer sistema semelhante ao Unix, independentemente da arquitetura do processador. Todas as necessidades do UAC são shell :)

Observe que o UAC é executado até mesmo em sistemas como dispositivos Network Attached Storage (NAS), dispositivos de rede como OpenWrt e dispositivos IoT.

O UAC não precisa ser instalado no sistema de destino. Basta baixar a versão mais recente na página de lançamentos, descompactá-la e iniciá-la. É tão simples!

A permissão Full Disk Access é um recurso de privacidade introduzido no macOS Mojave (10.14) que impede que alguns aplicativos acessem dados importantes, como Mail, Mensagens e arquivos do Safari. Portanto, é altamente recomendável que você conceda permissão manualmente para o aplicativo Terminal antes de executar o UAC a partir do terminal ou conceda permissão para usuários remotos antes de executar o UAC via ssh.

Para executar uma coleção, você deve fornecer pelo menos um perfil e/ou uma lista de artefatos e especificar o diretório de destino. Quaisquer parâmetros adicionais são opcionais.

Exemplos:

Colete todos os artefatos com base no perfil ir_triage e salve o arquivo de saída em /tmp.

./uac -p ir_triage /tmp

Colete todos os artefatos localizados no diretório artefatos/live_response e salve o arquivo de saída em /tmp.

./uac -a ./artifacts/live_response/ * /tmp

Colete todos os artefatos com base no perfil ir_triage, juntamente com todos os artefatos localizados no diretório /my_custom_artifacts e salve o arquivo de saída em /mnt/sda1.

./uac -p ir_triage -a /my_custom_artifacts/ * /mnt/sda1

Colete um dump de memória e todos os artefatos com base no perfil completo.

./uac -a ./artifacts/memory_dump/avml.yaml -p full /tmp

Colete todos os artefatos com base no perfil ir_triage, excluindo o artefato bodyfile/bodyfile.yaml.

./uac -p ir_triage -a ! artifacts/bodyfile/bodyfile.yaml /tmp

As contribuições são o que torna a comunidade de código aberto um lugar incrível para aprender, inspirar e criar. Qualquer contribuição que você fizer será muito apreciada.

Você criou algum artefato? Por favor, compartilhe-os conosco!

Você pode contribuir com novos artefatos, perfis, correções de bugs ou até propor novas funcionalidades. Por favor, leia nosso Guia de Contribuição antes de enviar uma solicitação pull para o projeto.

Para obter ajuda geral sobre o uso do UAC, consulte a página de documentação do projeto. Para obter ajuda adicional, você pode usar um dos canais para fazer uma pergunta:

• Discord (para discussão ao vivo com a comunidade e a equipe do UAC)
• GitHub (relatórios de bugs e contribuições)
• Twitter (receba as notícias rapidamente)

O projeto UAC usa a licença de software Apache License Versão 2.0.