AutoResponder：基于Carbon Black Response引擎实现的安全事件应急响应工具

关于AutoResponder

AutoResponder是一款功能强大的网络安全事件应急响应工具，该工具基于Carbon Black Response的安全引擎实现其功能，可以帮助广大研究人员积极迅速地响应组织网络系统内发生的安全事件，而且无需过多纠结于IT、系统或网络方面的细节。

关于Carbon Black Response

Carbon Black Response是一款功能强大的产品，它采用了新颖的方式来为事件响应案例提供解决方案。Carbon Black Response继承了Python API，可以帮助广大研究人员以自动化的形式完成安全任务，从而节省大量时间。

功能介绍

当前版本的AutoResponder支持下列功能模块：

删除文件 删除注册表值 删除Win32服务实例 删除计划任务实例 导出传感器列表详情 查找文件 查找注册表值 下载文件 下载Win32服务实例列表 下载计划任务实例列表 下载WMI实例列表 传感器枚举 终止正在运行的进程 重启传感器 重启节点 生成CSV报告 使用THOR APT扫描器扫描收集到的代码 删除WMI实例 完成任务并生成报告

工具适用场景

1、政府机构 2、银行金融机构 3、公立/私立机构 4、将Carbon Black Response以EDR产品部署到企业环境中 5、网络安全事件应急响应团队 6、初创公司

工具下载

该工具基于Python 3开发，因此广大研究人员首先需要在本地设备上安装并配置好Python 3（建议3.4或更高版本）环境。接下来，使用下列命令将该项目源码克隆至本地：

git clone https://github.com/lawiet47/autoresponder.git

工具安装

切换到项目所在目录后，运行下列命令即可安装该工具所需的依赖组件或功能模块：

pip3 install -r requirements.txt

参考这篇【文档】配置完Carbon Black API之后，即可完成AutoResponder的安装与配置。

THOR扫描

我们可以按照下列步骤使用THOR来对代码库进行扫描：

1、获取THOR Linux包； 2、添加有效的许可证（不支持试用许可证）； 3、将THOR目录更新为需要扫描的CBR服务器； 4、运行“run-thor”模块；

工具运行截图

工具使用演示

https://image.3001.net/images/20220511/1652276322_627bbc62e16dd3f718abe.gif

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

https://github.com/lawiet47/autoresponder

参考资料

https://cbapi.readthedocs.io/en/latest/

https://twitter.com/harunglec

https://twitter.com/thor_scanner

https://github.com/lawiet47/autoresponder/issues