Το Chainsaw είναι ένα εργαλείο πρώτης απόκρισης ανοιχτού κώδικα (Open-source) για τον γρήγορο εντοπισμό απειλών σε forensic τεχνουργήματα των Windows. Μπορεί να χρησιμοποιηθεί στα αρχεία καταγραφής συμβάντων και στο αρχείο MFT.
Επιτρέπει γρήγορες αναζητήσεις λέξεων-κλειδιών στα αρχεία καταγραφής συμβάντων και εντοπίζει απειλές χρησιμοποιώντας ενσωματωμένους κανόνες ανίχνευσης Sigma αλλά και προσαρμοσμένους κανόνες ανίχνευσης.
Chainsaw χαρακτηριστικά
- Κυνήγι απειλών χρησιμοποιώντας Sigma detection rules αλλά και custom detection rules
- Αναζήτηση και εξαγωγή forensic με αντιστοίχιση συμβολοσειρών και μοτίβα regex
- Δημιουργήστε χρονοδιαγράμματα εκτέλεσης αναλύοντας τεχνουργήματα της Shimcache και εμπλουτίζοντάς τα με δεδομένα Amcache
- Αναλύστε τη βάση δεδομένων SRUM και πάρτε τις απαραίτητες πληροφορίες
- Dump του forensic ακατέργαστου περιεχομένου (MFT, registry hives, ESE databases)
- Γρήγορο, γραμμένο σε rust, περιέχει τη βιβλιοθήκη αναλυτών EVTX
- Καθαρές και ελαφριές μορφές εκτέλεσης και εξόδου χωρίς περιττά bloat
- Document tagging (λογική αντιστοίχιση ανίχνευσης) που παρέχεται από την TAU Engine Library
- Αποτελέσματα εξόδου σε μια ποικιλία μορφών, όπως μορφή πίνακα ASCII, μορφή CSV και μορφή JSON
Το Chainsaw είναι διαθέσιμο δωρεάν στο GitHub. Μπορεί να τρέξει σε Linux, macOS και Windows.
