Cистема обнаружения вредоносрого трафика // Maltrail
XakerInfoMaltrail - это система обнаружения вредоносного трафика, использующая общедоступные (черные) списки, содержащие вредоносные и / или в целом подозрительные следы, наряду со статическими следами, составленными из различных отчетов AV и настраиваемых пользовательских списков, где след может быть любым, от имени домена (например, zvpprsensinaix.com
для Вредоносное ПО Banjori ), URL-адрес (например, hXXp://109.162.38.120/harsh02.exe
для известного вредоносного исполняемого файла ), IP-адрес (например, 185.130.5.231
для известного злоумышленника) или значение заголовка HTTP User-Agent (например, sqlmap
для автоматического внедрения SQL и инструмента захвата базы данных).
Кроме того, он использует (необязательно) расширенные эвристические механизмы, которые могут помочь в обнаружении неизвестных угроз (например, новых вредоносных программ).
Запуск Maltrail
Следующий набор команд должен запустить ваш Maltrail Sensor (из коробки с настройками по умолчанию и интерфейсом мониторинга "любой"):
- Для Debian / Ubuntu
sudo apt-get install git python-pcapy git clone --depth 1 https://github.com/stamparm/maltrail.git cd maltrail sudo python sensor.py
- Для SUSE / openSUSE
sudo zypper install gcc gcc-c++ git libpcap-devel python-devel python2-pip sudo pip2 install pcapy git clone --depth 1 https://github.com/stamparm/maltrail.git cd maltrail sudo python sensor.py
Чтобы запустить (необязательно) Сервер на той же машине, откройте новый терминал и выполните следующее:
[[ -d maltrail ]] || git clone --depth 1 https://github.com/stamparm/maltrail.git cd maltrail python server.py
Чтобы проверить, что все работает, выполните следующие действия:
ping -c 1 136.161.101.53 cat /var/log/maltrail/$(date +"%Y-%m-%d").log
Кроме того, чтобы протестировать перехват DNS-трафика, вы можете попробовать следующее:
nslookup morphed.ru cat /var/log/maltrail/$(date +"%Y-%m-%d").log
Чтобы остановить экземпляры Sensor и Server (если они работают в фоновом режиме), выполните следующие действия:
sudo pkill -f sensor.py pkill -f server.py
Получите доступ к интерфейсу отчетов (то есть к клиенту ), посетив http://127.0.0.1:8338 (учетные данные по умолчанию:) в admin:changeme!
своем веб-браузере:
Вредоносное ПО
В случае попыток подключения с зараженных компьютеров внутри нашей организации к уже известным C&C серверам вы сможете найти угрозы, подобные следующим (в данном случае Beebone ):
В случае DNS-запросов, содержащих известные доменные имена DGA , угроза будет отображаться как (в данном случае Necurs ):
В следующем случае произошла загрузка файлов из внесенных в черный список (в данном случае с помощью malwarepatrol.net ) URL-адресов:
Если мы введем конкретное имя вредоносного ПО (в данном случае Ramnit ) в Filter
поле, будут отфильтрованы только угрозы, которые, как известно, связаны с этим вредоносным ПО (показаны все затронутые внутренние компьютеры):
В более общем плане, если мы введем malware
в это Filter
поле, все угрозы, обнаруженные с помощью (связанных) вредоносных программ (например, IP
адресов), будут отфильтрованы по:
Поиск подозрительных доменов
Maltrail использует статический список доменов TLD, которые, как известно, часто участвуют в подозрительной деятельности. Большинство таких доменов TLD поступают от бесплатных регистраторов доменов (например, Freenom ), поэтому они должны находиться под более пристальным вниманием. На следующем снимке экрана мы можем найти случай, когда один такой домен TLD .cm
использовался неизвестным вредоносным ПО, использующим алгоритм DGA для связи со своим C&C сервером (ами):
Также бывают случаи, когда совершенно допустимые домены TLD (например .ru
) используются для подозрительных действий, например, в этом случае (например long domain name (suspicious)
), когда домены явно являются DGA, созданными неизвестным вредоносным ПО:
Maltrail использует статический список так называемых «динамических доменов», которые часто используются в подозрительных действиях (например, для вредоносных C&C серверов, которые часто меняют IP-адреса пункта назначения):
Кроме того, Maltrail использует статический список доменов, связанных с «луковицей», которые также часто используются в подозрительных действиях (например, вредоносное ПО связывается с C&C серверами с помощью службы (служб) Tor2Web):
В случае старых и / или устаревших вредоносных программ, которые остаются незамеченными на зараженных внутренних компьютерах организации, часто возникает «феномен», когда вредоносное ПО постоянно пытается связаться с доменом давно мертвого C&C сервера без какого-либо разрешения DNS. Следовательно, такие (потенциальные) угрозы будут помечены как excessive no such domain (suspicious)
:
В случае, если один трейл отвечает за слишком много угроз (например, в случае поддельных IP-адресов источника, как в атаках с усилением DNS), все похожие угрозы будут сгруппированы под одной flood
угрозой (Примечание: идентификатор угрозы будет отмечен суффиксом F0
), как в следующий пример:
Подозрительные запросы ipinfo
Многие вредоносные программы используют какой-либо ipinfo
сервис (например, ipinfo.io ), чтобы узнать IP-адрес жертвы в Интернете. В случае регулярных и особенно в нерабочее время такие запросы следует тщательно отслеживать, как в следующем примере:
Используя фильтр ipinfo
, можно перечислить все потенциально зараженные компьютеры в диапазоне нашей организации, которые демонстрируют такое подозрительное поведение:
Подозрительные прямые загрузки файлов
Maltrail отслеживает всю подозрительная прямой файл попытка загрузки (например .apk
, .bin
, .class
, .chm
, .dll
, .egg
, .exe
, .hta
, .hwp
, .ps1
, .scr
, .sct
и .xpi
расширение файлов). Это может вызвать множество ложных срабатываний, но в конечном итоге может помочь в реконструкции цепочки заражения (Примечание: законные поставщики услуг, такие как Google, обычно используют зашифрованный HTTPS для выполнения такого рода загрузок):
Подозрительные HTTP-запросы
В случае подозрительных запросов, поступающих от внешних сканеров безопасности веб-приложений (например, поиск уязвимостей SQLi, XSS, LFI и т. Д.) И / или злонамеренных попыток внутреннего пользователя на неизвестные веб-сайты, могут быть обнаружены угрозы, подобные следующим (реальный случай злоумышленники пытаются использовать Joomla CMS CVE-2015-7297, CVE-2015-7857 и CVE-2015-7858! уязвимости ):
В следующем примере сканирование уязвимостей веб-приложения было отмечено как «подозрительное»:
Если мы нажмем на значок пузыря (т.е.
) для получения подробной информации и скопируем все содержимое в текстовый файл, мы сможем увидеть все подозрительные HTTP-запросы:
На следующем снимке экрана в наших журналах можно найти запуск популярного инструмента проверки уязвимостей SQLi sqlmap :
А на этом всё, с вами Generalpacman и канал Xaker.
Как всегда, не забывайте ставить лайки и подписываться на канал, всем спасибо за внимание!