Hades 是一个基于 eBPF 的主机入侵检测系统,同时兼容低版本下通过 netlink(cn_proc) 进行事件审计。
申明:本项目借鉴了 Tracee 以及 Elkeid 中的代码以及思路等
后台逐步开发中
注: Agent 部分基本参照 Elkeid 1.7 部分重构
支持
21
种 Hook,涵盖大部分安全审计检测需求,采集字段基本和 Elkeid 相同
Hook 详情查看
eBPF driver 插件 Hook 事件详情
Hook | Status & Description | ID |
---|---|---|
tracepoint/syscalls/sys_enter_execve | ON | 700 |
tracepoint/syscalls/sys_enter_execveat | ON | 698 |
tracepoint/syscalls/sys_enter_memfd_create | ON | 614 |
tracepoint/syscalls/sys_enter_prctl | ON(PR_SET_NAME & PR_SET_MM) | 1020 |
tracepoint/syscalls/sys_enter_ptrace | ON(PTRACE_PEEKTEXT & PTRACE_POKEDATA) | 1021 |
kprobe/security_socket_connect | ON | 1022 |
kprobe/security_socket_bind | ON | 1024 |
kprobe/commit_creds | ON | 1011 |
k(ret)probe/udp_recvmsg | ON(53/5353 for dns data) | 1025 |
kprobe/do_init_module | ON | 1026 |
kprobe/security_kernel_read_file | ON | 1027 |
kprobe/security_inode_create | ON | 1028 |
kprobe/security_sb_mount | ON | 1029 |
kprobe/call_usermodehelper | ON | 1030 |
kprobe/security_inode_rename | ON | 1031 |
kprobe/security_inode_link | ON | 1032 |
uprobe/trigger_sct_scan | ON | 1200 |
uprobe/trigger_idt_scan | ON | 1201 |
kprobe/security_file_permission | ON | 1202 |
uprobe/trigger_module_scan | ON | 1203 |
kprobe/security_bpf | ON | 1204 |
S 代表异步采集,P 代表周期采集,C 代表触发采集
collector 插件 hook 详情
Event | Type | ID |
---|---|---|
processes | P | 1001 |
crontab | P | 2001 |
sshdconfig | P | 3002 |
ssh login | S | 3003 |
user | P | 3004 |
sshconfig | P | 3005 |
yum | P | 3006 |
host detect | C | 3007 |
apps | P | 3008 |
kmod | P | 3009 |
disk | P | 3010 |
systemd | P | 3011 |
interface | P | 3012 |
iptable | P | 3013 |
bpf_program | P | 3014 |
jar | P | 3015 |
dpkg | P | 3016 |
rpm | P | 3017 |
container | P | 3018 |
socket | P | 5001 |
Netlink CN_PROC 事件采集
输入 Hades
获取相关群二维码
Hades 现已加入 404 星链计划