aftermath

关于

Aftermath 是一个基于 Swift 的开源事件响应框架。

Aftermath 可以被防御者用来收集并随后分析受感染主机的数据。Aftermath 理想情况下可以从 MDM 部署，但也可以独立地从被感染用户的命令行运行。

Aftermath 首先运行一系列模块进行数据收集。收集结果将通过 -o 或 --output 选项写入您指定的位置，或默认写入 /tmp 目录。

一旦收集完成，最终的 zip/归档文件可以从最终用户的磁盘中提取。然后可以使用 --analyze 参数指向归档文件来分析这个文件。分析结果将写入 /tmp 目录。管理员随后可以解压该分析目录，查看本地收集的数据库的解析视图、包含文件创建、最后访问和最后修改日期（如果可用）的文件时间线，以及包括文件元数据、数据库变更和浏览器信息的故事线，以潜在地追踪感染源。

构建

要在本地构建 Aftermath，请从存储库克隆它

git clone https://github.com/jamf/aftermath.git

进入 Aftermath 目录

cd <aftermath目录路径>

使用 Xcode 构建

xcodebuild -scheme "aftermath"

进入 Release 文件夹

cd build/Release

运行 aftermath

sudo ./aftermath

使用方法

Aftermath 需要 root 权限，并且需要完全磁盘访问权限（FDA）才能运行。FDA 可以授予运行它的终端应用程序。

Aftermath 的默认用法是

sudo ./aftermath

要指定某些选项

sudo ./aftermath [选项1] [选项2]

示例

sudo ./aftermath -o /Users/user/Desktop --deep

sudo ./aftermath --analyze <收集_zip文件路径>

外部统一日志谓词

用户可以使用 --logs 或 -l 参数向 Aftermath 传递一个统一日志谓词的文本文件。传递给 Aftermath 的文件必须是文本文件，每个谓词需要用换行符分隔。此外，每一行都将是一个字典对象。字典中的键可以是用户想要称呼该谓词的任何名称。例如，如果你想查看所有登录事件，我们将创建一个谓词并将其命名为 login_events。

login_events: processImagePath contains "loginwindow" and eventMessage contains "com.apple.sessionDidLogin
tcc: process == "tccd"

注意

由于 eslogger 和 tcpdump 在额外的线程上运行，目标是从中收集尽可能多的数据，它们会在 aftermath 退出时退出。因此，eslogger json 文件或 tcpdump 生成的 pcap 文件的最后一行可能会被截断。

文件收集列表

工件
- 配置文件
- 日志文件
- LSQuarantine 数据库
- Shell 历史和配置文件（bash、csh、fish、ksh、zsh）
- TCC 数据库
- XBS 数据库（XProtect 行为服务）
文件系统
- 浏览器数据（Cookie、下载、扩展、历史记录）
  - Arc
  - Brave
  - Chrome
  - Edge
  - Firefox
  - Safari
- 文件数据
  - 遍历常用目录以获取访问、创建、修改时间戳
- Slack
网络
- 活动网络连接
- Airport 首选项
持久性
- BTM 数据库
- Cron
- Emond
- 启动项
  - 启动代理
  - 启动守护程序
- 登录钩子
- 登录项
- 覆盖
  - launchd 覆盖
  - MDM 覆盖
- 周期性脚本
- 系统扩展
进程
- 利用 TrueTree 创建进程树
系统侦察
- 环境变量
- 安装历史
- 已安装应用程序
- 已安装用户
- 接口
- MRT 版本
- 运行中的应用程序
- 安全评估（SIP 状态、Gatekeeper 状态、防火墙状态、Filevault 状态、远程登录、Airdrop 状态、I/O 统计、屏幕共享状态、登录历史、网络接口参数）
- XProtect 版本
- XProtect Remediator (XPR) 版本
统一日志
- 默认统一日志（failed_sudo、login、manual_configuration_profile_install、screensharing、ssh、tcc、xprotect_remediator）
- 可在运行时传入额外日志

发布

在 Releases 下有一个 Aftermath.pkg 可用。这个 pkg 已签名并公证。它将在 /usr/local/bin/ 安装 aftermath 二进制文件。这将是通过 MDM 部署的理想方式。由于它安装在 bin 中，你可以像这样运行 aftermath

sudo aftermath [选项1] [选项2]

卸载

要卸载 aftermath 二进制文件，请从 Releases 运行 AftermathUninstaller.pkg。这将卸载二进制文件，并运行 aftermath --cleanup 以删除 aftermath 目录。如果使用 --output 命令导致任何 aftermath 目录存在于其他位置，则由用户/管理员负责删除这些目录。

帮助菜单

--analyze -> 分析 Aftermath 结果
     用法：--analyze <aftermath_收集文件路径>
--collect-dirs -> 指定要转储原始文件的目录位置（用空格分隔）
    用法：--collect-dirs <目录路径> <另一个目录路径>
--deep 或 -d -> 对文件系统进行深度扫描，获取修改和访问的时间戳元数据
    警告：这将是一个耗时且内存消耗大的扫描。
--disable -> 禁用可能收集个人用户数据的一组 aftermath 功能
    可禁用的功能：browsers -> 收集浏览器信息 | browser-killswitch -> 强制关闭浏览器 | -> databases -> tcc 和 lsquarantine 数据库 | filesystem -> 遍历文件系统获取时间戳 | proc-info -> 通过 TrueTree 和 eslogger 收集进程信息 | slack -> slack 数据 | ul -> 统一日志模块 | all -> 所有上述选项 
    用法：--disable browsers browser-killswitch databases filesystem proc-info slack
           --disable all
--es-logs -> 指定要收集的 Endpoint Security 事件（用空格分隔）（默认为：create exec mmap）。要禁用，请参见 --disable es-logs
    用法：--es-logs setuid unmount write
--logs -> 指定包含统一日志谓词（作为字典对象）的外部文本文件进行解析
    用法：--logs /Users/<用户>/Desktop/myPredicates.txt
-o 或 --output -> 指定 Aftermath 收集结果的输出位置（默认为 /tmp）
     用法：-o Users/user/Desktop
--pretty -> 为终端输出着色
--cleanup -> 从默认位置（"/tmp"、"/var/folders/zz/）删除 Aftermath 文件夹