Chirp: Una herramienta de recopilación forense escrita en Python creada por el CISA

Chirp: Una herramienta de recopilación forense escrita en Python creada por el CISA
Chirp: Una herramienta de recopilación forense escrita en Python

CISA desarrolló CHIRP (Programa de búsqueda y respuesta a incidentes de CISA) una herramienta de recopilación forense de Windows; para ayudar a los defensores de la red a encontrar indicadores de compromiso asociados con el compromiso de SolarWinds y Active Directory.

El Programa de respuesta a incidentes y búsqueda de CISA (CHIRP) es una herramienta creada para consultar de forma dinámica Indicadores de compromiso (IoC) en hosts con un solo paquete.

La herramienta genera datos en un formato JSON para su posterior análisis en un SIEM u otra herramienta. CHIRP no modifica ningún dato del sistema.

Los IoC iniciales están destinados a buscar la actividad detallada en la alerta CISA AA21-008A que se ha extendido al entorno empresarial.

Prerrequisitos para el uso de Chirp

Se requiere Python 3.6 o superior para ejecutar CHIRP con Python. CHIRP debe ejecutarse en una máquina real, pero no tiene que estar conectado a la red.

Actualmente, CHIRP debe ejecutarse en la unidad que contiene registros de winevt. Poco después del lanzamiento, se actualizará para que CHIRP pueda ejecutarse desde cualquier unidad.

¿Cómo instalar Chirp?

Una vez tengas instalado Python 3.6, ejecuta el siguiente comando:

python3 -m pip install -e.

Debes tener en cuenta que yara-python viene con algunas otras dependencias y puede que tengas que instalar Visual Studio C ++ 14.0 y el SDK de Windows 10.

¿Cómo usar Chirp?

Desde el repositorio .\chirp.exe.

Desde Python python3 chirp.py.

Salida de Ejemplo:

[15:32:19] [YARA] Enumerating the entire filesystem due to ['CISA Solar Fire', 'CISA Teardrop', 'CrowdStrike Rempack', 'CrowdStrike Sunspot', 'FireEye       common.py:103
           Cosmic Gale', 'FireEye Sunburst']... this is going to take a while.
           [YARA] Entered yara plugin.                                                                                                                       common.py:103
           [REGISTRY] Found 0 hit(s) for IFEO Persistence indicator.                                                                                         common.py:103
           [REGISTRY] Found 0 hit(s) for Teardrop - Registry Activity indicator.                                                                             common.py:103
           [REGISTRY] Found 0 hit(s) for Sibot - Registry indicator.
           ...
           ...
           ...
           [+] Done! Your results can be found at Z:\README\output.

¿Con qué está creado Chirp?

  • Python: Chirp está creado con el lenguaje de programación de Python.
  • Nuitka: Nuitka se usa para compilar el código.
  • evtx2json: Para acceder al registro de eventos.
  • yara-python: Para analizar y ejecutar las reglas de yara.
  • Rich: Hace que la CLI sea más agradable a la vista.
  • psutil: Proporciona una API sencilla para muchas funciones del sistema operativo.

Vídeo explicativo sobre CHIRP

👉 REPOSITORIO DE CHIRP EN GITHUB

ROSEPAC

Redactor Diario Ciberninjas. Curador Digital. 🔗 Telegram 👨‍💻 Twittter 🐦 Discord 🧰