CISA desarrolló CHIRP (Programa de búsqueda y respuesta a incidentes de CISA) una herramienta de recopilación forense de Windows; para ayudar a los defensores de la red a encontrar indicadores de compromiso asociados con el compromiso de SolarWinds y Active Directory.
El Programa de respuesta a incidentes y búsqueda de CISA (CHIRP) es una herramienta creada para consultar de forma dinámica Indicadores de compromiso (IoC) en hosts con un solo paquete.
La herramienta genera datos en un formato JSON para su posterior análisis en un SIEM u otra herramienta. CHIRP no modifica ningún dato del sistema.
Los IoC iniciales están destinados a buscar la actividad detallada en la alerta CISA AA21-008A que se ha extendido al entorno empresarial.
Prerrequisitos para el uso de Chirp
Se requiere Python 3.6 o superior para ejecutar CHIRP con Python. CHIRP debe ejecutarse en una máquina real, pero no tiene que estar conectado a la red.
Actualmente, CHIRP debe ejecutarse en la unidad que contiene registros de winevt. Poco después del lanzamiento, se actualizará para que CHIRP pueda ejecutarse desde cualquier unidad.
¿Cómo instalar Chirp?
Una vez tengas instalado Python 3.6, ejecuta el siguiente comando:
python3 -m pip install -e.
Debes tener en cuenta que
yara-python
viene con algunas otras dependencias y puede que tengas que instalar Visual Studio C ++ 14.0 y el SDK de Windows 10.
¿Cómo usar Chirp?
Desde el repositorio
.\chirp.exe
.
Desde Python
python3 chirp.py
¿Con qué está creado Chirp?
- Python: Chirp está creado con el lenguaje de programación de Python.
- Nuitka: Nuitka se usa para compilar el código.
- evtx2json: Para acceder al registro de eventos.
- yara-python: Para analizar y ejecutar las reglas de yara.
- Rich: Hace que la CLI sea más agradable a la vista.
- psutil: Proporciona una API sencilla para muchas funciones del sistema operativo.