Fenrir 项目使用教程

Fenrir 项目使用教程

1. 项目介绍

Fenrir 是一个简单的 Bash IOC（Indicators of Compromise）扫描器脚本。它允许扫描 Linux/Unix/OSX 系统以检测以下类型的威胁指标：

• 哈希值：支持 MD5、SHA1 和 SHA256 哈希算法。
• 文件名：检查文件路径中是否包含特定的子字符串。
• 字符串：在文件中搜索特定的字符串。
• C2 服务器：检查系统中是否存在与 C2 服务器相关的连接。
• 时间戳：根据文件的创建或修改时间进行筛选。

Fenrir 是一个轻量级的工具，无需安装或代理，使用常见的工具（如 md5sum、grep、stat 等）来提取属性。它旨在在任何支持 Bash 的 Linux/Unix/OS X 系统上运行。

2. 项目快速启动

2.1 克隆项目

首先，克隆 Fenrir 项目到本地：

git clone https://github.com/Neo23x0/Fenrir.git
cd Fenrir

2.2 运行 Fenrir

Fenrir 脚本可以直接在 Bash 中运行。以下是一个简单的启动命令示例：

./fenrir.sh /path/to/scan

其中 /path/to/scan 是你希望扫描的目录路径。

2.3 配置文件

Fenrir 的配置可以在脚本的头部进行修改。例如，你可以配置以下内容：

• C2 服务器检查：在 lsof -i 和 lsof -i -n 输出中检查 C2 服务器。
• 目录排除：配置需要排除的目录。
• 文件扩展名检查：配置需要检查的文件扩展名。
• 文件大小排除：配置需要排除的文件大小。

3. 应用案例和最佳实践

3.1 定期扫描

在企业环境中，可以定期使用 Fenrir 进行系统扫描，以检测潜在的威胁指标。可以将 Fenrir 集成到自动化任务中，例如使用 Cron 定时任务。

3.2 事件响应

在安全事件响应过程中，Fenrir 可以快速扫描受影响的系统，帮助识别与事件相关的文件和连接。

3.3 合规性检查

Fenrir 可以用于合规性检查，确保系统中没有与已知威胁指标匹配的文件或连接。

4. 典型生态项目

4.1 THOR

THOR 是 Fenrir 的姊妹项目，是一个功能齐全的 APT 扫描器，适用于企业客户。THOR 提供了更多的模块和导出类型，适合更复杂的威胁检测需求。

4.2 LOKI

LOKI 是一个免费的 IOC 扫描器，使用 YARA 作为签名格式。LOKI 需要 Python 和 YARA 安装在 Linux 系统上运行，适合需要更复杂签名的场景。

4.3 Ansible Playbook

Fenrir 可以与 Ansible 集成，通过 Ansible Playbook 在多个远程系统上分发和运行 Fenrir。这可以确保在多个系统上进行一致的扫描，并最小化对远程系统的影响。

通过以上模块的介绍，你可以快速上手并使用 Fenrir 进行系统威胁检测。