ChopChopGo是一款针对Linux的取证数据快速收集工具,该工具基于Go语言开发,可以快速全面地分析日志和其他工件,以识别 Linux 上的潜在安全事件和威胁。
1、使用Sigma检测规则和自定义 ChopChopGo 检测规则搜寻威胁;
2、速度快如闪电,使用Go语言编写;
3、干净、轻量的执行和输出格式,减少了不必要的臃肿;
4、支持在 Linux 操作系统上运行;
Golang
由于该工具基于Go开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go环境。
源码获取
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/M00NLIG7/ChopChopGo.git
然后切换到项目目录中,并通过运行以下命令自行编译代码:
cd ChopChopGogo build
运行下列命令安装systemd开发文件:
apt-get install libsystemd-dev
发布版本
我们还可以直接访问该项目的Releases页面下载预编译版本的ChopChopGo 二进制文件以及与之配合的官方 sigma 规则。
常规使用
通过syslog执行默认搜索:
./ChopChopGo
通过Auditd日志和官方Sigma规则执行搜索:
./ChopChopGo -target auditd -rules ./rules/linux/auditd/ -file /opt/evidence/auditd.log
通过Journald和指定规则自行搜索:
./ChopChopGo -target journald -rules ./rules/linux/builtin/
替代输出格式
您可能希望以自动化方式使用 ChopChopGo。CSV 和 JSON 输出选项对此很有用。使用这两个选项时,标题和进度统计信息不会打印到控制台。其中,每个选项都可以使用-out参数来设置。
CSV:
./ChopChopGo -target sylog -rules ./rules/linux/builtin/syslog/ -out csvJSON:
./ChopChopGo -target syslog -rules ./rules/linux/builtin/syslog/ -out json
更新Sigma规则
./update-rules.sh
本项目的开发与发布遵循GPL-3.0开源许可协议。
ChopChopGo:
https://github.com/M00NLIG7/ChopChopGo
