访问官网
Github
论文
关于
Aftermath 是一个基于 Swift 的开源事件响应框架。
Aftermath 可以被防御者用来收集并随后分析受感染主机的数据。Aftermath 理想情况下可以从 MDM 部署,但也可以独立地从被感染用户的命令行运行。
Aftermath 首先运行一系列模块进行数据收集。收集结果将通过 -o 或 --output 选项写入您指定的位置,或默认写入 /tmp 目录。
一旦收集完成,最终的 zip/归档文件可以从最终用户的磁盘中提取。然后可以使用 --analyze 参数指向归档文件来分析这个文件。分析结果将写入 /tmp 目录。管理员随后可以解压该分析目录,查看本地收集的数据库的解析视图、包含文件创建、最后访问和最后修改日期(如果可用)的文件时间线,以及包括文件元数据、数据库变更和浏览器信息的故事线,以潜在地追踪感染源。
构建
要在本地构建 Aftermath,请从存储库克隆它
git clone https://github.com/jamf/aftermath.git
进入 Aftermath 目录
cd <aftermath目录路径>
使用 Xcode 构建
xcodebuild -scheme "aftermath"
进入 Release 文件夹
cd build/Release
运行 aftermath
sudo ./aftermath
使用方法
Aftermath 需要 root 权限,并且需要完全磁盘访问权限(FDA)才能运行。FDA 可以授予运行它的终端应用程序。
Aftermath 的默认用法是
sudo ./aftermath
要指定某些选项
sudo ./aftermath [选项1] [选项2]
示例
sudo ./aftermath -o /Users/user/Desktop --deep
sudo ./aftermath --analyze <收集_zip文件路径>
外部统一日志谓词
用户可以使用 --logs 或 -l 参数向 Aftermath 传递一个统一日志谓词的文本文件。传递给 Aftermath 的文件必须是文本文件,每个谓词需要用换行符分隔。此外,每一行都将是一个字典对象。字典中的键可以是用户想要称呼该谓词的任何名称。例如,如果你想查看所有登录事件,我们将创建一个谓词并将其命名为 login_events。
login_events: processImagePath contains "loginwindow" and eventMessage contains "com.apple.sessionDidLogin
tcc: process == "tccd"
注意
由于 eslogger 和 tcpdump 在额外的线程上运行,目标是从中收集尽可能多的数据,它们会在 aftermath 退出时退出。因此,eslogger json 文件或 tcpdump 生成的 pcap 文件的最后一行可能会被截断。
文件收集列表
- 工件
- 配置文件
- 日志文件
- LSQuarantine 数据库
- Shell 历史和配置文件(bash、csh、fish、ksh、zsh)
- TCC 数据库
- XBS 数据库(XProtect 行为服务)
- 文件系统
- 浏览器数据(Cookie、下载、扩展、历史记录)
- Arc
- Brave
- Chrome
- Edge
- Firefox
- Safari
- 文件数据
- 遍历常用目录以获取访问、创建、修改时间戳
- Slack
- 浏览器数据(Cookie、下载、扩展、历史记录)
- 网络
- 活动网络连接
- Airport 首选项
- 持久性
- BTM 数据库
- Cron
- Emond
- 启动项
- 启动代理
- 启动守护程序
- 登录钩子
- 登录项
- 覆盖
- launchd 覆盖
- MDM 覆盖
- 周期性脚本
- 系统扩展
- 进程
- 利用 TrueTree 创建进程树
- 系统侦察
- 环境变量
- 安装历史
- 已安装应用程序
- 已安装用户
- 接口
- MRT 版本
- 运行中的应用程序
- 安全评估(SIP 状态、Gatekeeper 状态、防火墙状态、Filevault 状态、远程登录、Airdrop 状态、I/O 统计、屏幕共享状态、登录历史、网络接口参数)
- XProtect 版本
- XProtect Remediator (XPR) 版本
- 统一日志
- 默认统一日志(failed_sudo、login、manual_configuration_profile_install、screensharing、ssh、tcc、xprotect_remediator)
- 可在运行时传入额外日志
发布
在 Releases 下有一个 Aftermath.pkg 可用。这个 pkg 已签名并公证。它将在 /usr/local/bin/ 安装 aftermath 二进制文件。这将是通过 MDM 部署的理想方式。由于它安装在 bin 中,你可以像这样运行 aftermath
sudo aftermath [选项1] [选项2]
卸载
要卸载 aftermath 二进制文件,请从 Releases 运行 AftermathUninstaller.pkg。这将卸载二进制文件,并运行 aftermath --cleanup 以删除 aftermath 目录。如果使用 --output 命令导致任何 aftermath 目录存在于其他位置,则由用户/管理员负责删除这些目录。
帮助菜单
--analyze -> 分析 Aftermath 结果
用法:--analyze <aftermath_收集文件路径>
--collect-dirs -> 指定要转储原始文件的目录位置(用空格分隔)
用法:--collect-dirs <目录路径> <另一个目录路径>
--deep 或 -d -> 对文件系统进行深度扫描,获取修改和访问的时间戳元数据
警告:这将是一个耗时且内存消耗大的扫描。
--disable -> 禁用可能收集个人用户数据的一组 aftermath 功能
可禁用的功能:browsers -> 收集浏览器信息 | browser-killswitch -> 强制关闭浏览器 | -> databases -> tcc 和 lsquarantine 数据库 | filesystem -> 遍历文件系统获取时间戳 | proc-info -> 通过 TrueTree 和 eslogger 收集进程信息 | slack -> slack 数据 | ul -> 统一日志模块 | all -> 所有上述选项
用法:--disable browsers browser-killswitch databases filesystem proc-info slack
--disable all
--es-logs -> 指定要收集的 Endpoint Security 事件(用空格分隔)(默认为:create exec mmap)。要禁用,请参见 --disable es-logs
用法:--es-logs setuid unmount write
--logs -> 指定包含统一日志谓词(作为字典对象)的外部文本文件进行解析
用法:--logs /Users/<用户>/Desktop/myPredicates.txt
-o 或 --output -> 指定 Aftermath 收集结果的输出位置(默认为 /tmp)
用法:-o Users/user/Desktop
--pretty -> 为终端输出着色
--cleanup -> 从默认位置("/tmp"、"/var/folders/zz/)删除 Aftermath 文件夹
贡献者
- Stuart Ashenbrenner
- Jaron Bradley
- Maggie Zirnhelt
- Matt Benyo
- Ferdous Saljooki
