Cистема обнаружения вредоносрого трафика // Maltrail

Cистема обнаружения вредоносрого трафика // Maltrail

XakerInfo


Maltrail - это система обнаружения вредоносного трафика, использующая общедоступные (черные) списки, содержащие вредоносные и / или в целом подозрительные следы, наряду со статическими следами, составленными из различных отчетов AV и настраиваемых пользовательских списков, где след может быть любым, от имени домена (например, zvpprsensinaix.comдля Вредоносное ПО Banjori ), URL-адрес (например, hXXp://109.162.38.120/harsh02.exeдля известного вредоносного исполняемого файла ), IP-адрес (например, 185.130.5.231для известного злоумышленника) или значение заголовка HTTP User-Agent (например, sqlmapдля автоматического внедрения SQL и инструмента захвата базы данных). 


Кроме того, он использует (необязательно) расширенные эвристические механизмы, которые могут помочь в обнаружении неизвестных угроз (например, новых вредоносных программ).


Запуск Maltrail

Следующий набор команд должен запустить ваш Maltrail Sensor (из коробки с настройками по умолчанию и интерфейсом мониторинга "любой"):

  • Для Debian / Ubuntu
sudo apt-get install git python-pcapy
git clone --depth 1 https://github.com/stamparm/maltrail.git
cd maltrail
sudo python sensor.py
  • Для SUSE / openSUSE
sudo zypper install gcc gcc-c++ git libpcap-devel python-devel python2-pip
sudo pip2 install pcapy
git clone --depth 1 https://github.com/stamparm/maltrail.git
cd maltrail
sudo python sensor.py


Чтобы запустить (необязательно) Сервер на той же машине, откройте новый терминал и выполните следующее:

[[ -d maltrail ]] || git clone --depth 1 https://github.com/stamparm/maltrail.git
cd maltrail
python server.py


Чтобы проверить, что все работает, выполните следующие действия:

ping -c 1 136.161.101.53
cat /var/log/maltrail/$(date +"%Y-%m-%d").log


Кроме того, чтобы протестировать перехват DNS-трафика, вы можете попробовать следующее:

nslookup morphed.ru
cat /var/log/maltrail/$(date +"%Y-%m-%d").log


Чтобы остановить экземпляры Sensor и Server (если они работают в фоновом режиме), выполните следующие действия:

sudo pkill -f sensor.py
pkill -f server.py

Получите доступ к интерфейсу отчетов (то есть к клиенту ), посетив http://127.0.0.1:8338 (учетные данные по умолчанию:) в admin:changeme!своем веб-браузере:

Вредоносное ПО

В случае попыток подключения с зараженных компьютеров внутри нашей организации к уже известным C&C серверам вы сможете найти угрозы, подобные следующим (в данном случае Beebone ):

beebone вредоносное ПО


В случае DNS-запросов, содержащих известные доменные имена DGA , угроза будет отображаться как (в данном случае Necurs ):

necurs вредоносное ПО


В следующем случае произошла загрузка файлов из внесенных в черный список (в данном случае с помощью malwarepatrol.net ) URL-адресов:

загрузка вредоносного ПО


Если мы введем конкретное имя вредоносного ПО (в данном случае Ramnit ) в Filterполе, будут отфильтрованы только угрозы, которые, как известно, связаны с этим вредоносным ПО (показаны все затронутые внутренние компьютеры):

ramnit вредоносное ПО


В более общем плане, если мы введем malwareв это Filterполе, все угрозы, обнаруженные с помощью (связанных) вредоносных программ (например, IPадресов), будут отфильтрованы по:

фильтр вредоносных программ


Поиск подозрительных доменов

Maltrail использует статический список доменов TLD, которые, как известно, часто участвуют в подозрительной деятельности. Большинство таких доменов TLD поступают от бесплатных регистраторов доменов (например, Freenom ), поэтому они должны находиться под более пристальным вниманием. На следующем снимке экрана мы можем найти случай, когда один такой домен TLD .cmиспользовался неизвестным вредоносным ПО, использующим алгоритм DGA для связи со своим C&C сервером (ами):

см DGA


Также бывают случаи, когда совершенно допустимые домены TLD (например .ru) используются для подозрительных действий, например, в этом случае (например long domain name (suspicious)), когда домены явно являются DGA, созданными неизвестным вредоносным ПО:

Подозрительные длинные домены


Maltrail использует статический список так называемых «динамических доменов», которые часто используются в подозрительных действиях (например, для вредоносных C&C серверов, которые часто меняют IP-адреса пункта назначения):

Подозрительные динамические домены


Кроме того, Maltrail использует статический список доменов, связанных с «луковицей», которые также часто используются в подозрительных действиях (например, вредоносное ПО связывается с C&C серверами с помощью службы (служб) Tor2Web):

Подозрительный лук


В случае старых и / или устаревших вредоносных программ, которые остаются незамеченными на зараженных внутренних компьютерах организации, часто возникает «феномен», когда вредоносное ПО постоянно пытается связаться с доменом давно мертвого C&C сервера без какого-либо разрешения DNS. Следовательно, такие (потенциальные) угрозы будут помечены как excessive no such domain (suspicious):

Чрезмерное отсутствие такого доменного имени


В случае, если один трейл отвечает за слишком много угроз (например, в случае поддельных IP-адресов источника, как в атаках с усилением DNS), все похожие угрозы будут сгруппированы под одной floodугрозой (Примечание: идентификатор угрозы будет отмечен суффиксом F0), как в следующий пример:

Наводнение


Подозрительные запросы ipinfo

Многие вредоносные программы используют какой-либо ipinfoсервис (например, ipinfo.io ), чтобы узнать IP-адрес жертвы в Интернете. В случае регулярных и особенно в нерабочее время такие запросы следует тщательно отслеживать, как в следующем примере:

подозрительный ipinfo


Используя фильтр ipinfo, можно перечислить все потенциально зараженные компьютеры в диапазоне нашей организации, которые демонстрируют такое подозрительное поведение:

фильтр ipinfo


Подозрительные прямые загрузки файлов

Maltrail отслеживает всю подозрительная прямой файл попытка загрузки (например .apk.bin.class.chm.dll.egg.exe.hta.hwp.ps1.scr.sctи .xpiрасширение файлов). Это может вызвать множество ложных срабатываний, но в конечном итоге может помочь в реконструкции цепочки заражения (Примечание: законные поставщики услуг, такие как Google, обычно используют зашифрованный HTTPS для выполнения такого рода загрузок):

Прямая загрузка .exe



Подозрительные HTTP-запросы

В случае подозрительных запросов, поступающих от внешних сканеров безопасности веб-приложений (например, поиск уязвимостей SQLi, XSS, LFI и т. Д.) И / или злонамеренных попыток внутреннего пользователя на неизвестные веб-сайты, могут быть обнаружены угрозы, подобные следующим (реальный случай злоумышленники пытаются использовать Joomla CMS CVE-2015-7297, CVE-2015-7857 и CVE-2015-7858! уязвимости ):

SQLi com_contenthistory


В следующем примере сканирование уязвимостей веб-приложения было отмечено как «подозрительное»:

Сканирование уязвимостей


Если мы нажмем на значок пузыря (т.е. 

) для получения подробной информации и скопируем все содержимое в текстовый файл, мы сможем увидеть все подозрительные HTTP-запросы:

Запросы на сканирование уязвимостей


На следующем снимке экрана в наших журналах можно найти запуск популярного инструмента проверки уязвимостей SQLi sqlmap :

запросы на сканирование sqlmap


А на этом всё, с вами Generalpacman и канал Xaker.

Как всегда, не забывайте ставить лайки и подписываться на канал, всем спасибо за внимание! 

Report Page