许多公司在构建网络安全能力时,通常会从防火墙、防病毒、入侵检测和身份验证等方面来起步。当这些防护能力建设完成后,企业就会逐渐将资源投入到更复杂的主动安全实践中,例如威胁狩猎。传统的安全防御方法通常是在威胁发生后才开始工作,相比之下,威胁狩猎则是一种不同的处理方法。
组织实施威胁狩猎计划的核心目标就是要缩短出现危险和完成攻击之间的时间差,即所谓的“停留时间”。当攻击行为者在企业环境中停留的时间越长,他们可能造成的伤害后果就越大。更确切地说,威胁狩猎需要能够发现传统安全工具未检测到的风险,并帮助企业分析和提高现有威胁检测机制和流程的有效性,提出合理的安全性优化建议。此外,它们还需要能够识别新的攻击手法、战术、技术和程序 (TTP),从而发起全新的威胁处置任务。
尽管安全分析师可以人工方式完成以上各种任务,但是在效率和时间上很难满足企业的实际应用需求。更有效的威胁狩猎工作应该是在高度自动化的流程中完成,充分利用UEBA、机器学习等技术手段为分析师提供帮助。企业在选型威胁狩猎工具时,应该重点关注以下功能:
- 是否能够为安全分析师提供各种安全事件的信息收集服务。
- 是否可以聚合数据,形成统一的事件记录情报。
- 是否支持多样化的威胁检测策略。
- 是否具有人工分析的选项。
- 自动响应设置能力是否强大。
- 是否可以在正式购买前提供试用。
本文收集整理了目前较受安全分析师青睐的10款免费开源威胁搜寻工具,并对其应用特点进行了分析:
1、AIEngine
AIEngine是一款典型的威胁态势驱动识别工具,支持Python、Ruby、Java和Lua的数据包安全检测引擎,通过这种交互式工具,企业可以进一步提升网络系统的入侵检测能力。
AIEngine的主要功能包括下一代交互式入侵检测系统、DNS域分类、网络收集器、网络取证分析及其他安全检测功能。通过使用AIEngine,安全分析师可以快速检测垃圾邮件和收集网络信息,进一步提升网络取证分析的能力;还可以使用该工具更深入地理解流量,并为防火墙和安全软件创建威胁特征。
传送门:
https://github.com/camp0/aiengine。
2、APT-Hunter
APT- Hunter是由Ahmed Khlief设计开发,是一款面向Windows事件日志的威胁搜寻工具,可以检测可疑活动,并跟踪高级持续性威胁(APT)活动。它对威胁分析师、事件响应人员和取证调查人员大有帮助。该工具的默认规则是将Mitre ATT&CK战术与Windows事件日志的ID对应起来,从而快速检测攻击指标(包括APT技术)。
免费版的APT-Hunter可以根据已发现的APT攻击情报信息识别系统中的APT活动,通过更快速的攻击检测来缩短响应时间,并迅速遏制和根除攻击。很多安全团队也会将它用作警报过滤器,从数百万个告警事件,筛选出少数需要立即处置的高危事件。APT-Hunter有两个配套组件可以为用户提供所需的数据,这个程序可用于加快Windows日志分析,但只能部分取代。
传送门:
https://github.com/ahmedkhlief/APT-Hunter。
3、Attacker KB
每次当新的漏洞时,企业的安全团队都会急于了解:这个漏洞的覆盖范围有多广?攻击者或威胁分子会利用这个漏洞吗?为了修复或缓解漏洞而放弃其他工作是否值得?在大多数情况下,安全专家会落后于黑客们掌握漏洞可以被利用的情形和性质。Attacker KB的作用就是记录、展示和汇总各大安全社区中关于漏洞利用的专业知识。
作为一种威胁搜寻解决方案,Attacker KB可以帮助安全分析师更好地了解漏洞,包括信息披露、技术评估、结果、可利用性和实际可用性等。这些信息让安全分析师可以快速识别和排序最近漏洞和以往漏洞,并可以确定哪些漏洞可能已经存在于本组织中。
传送门:https://attackerkb.com/。
4、Automater
Automater是一款由TekDefense提供的威胁搜寻工具,可以分析URL、域和哈希,以简化入侵分析。通过使用Automater,企业可以选定一些具体的目标参数,并从广泛的公开信息源收集相关信息。
Automater是一款用Python开发的工具,放在GitHub平台上供人使用。它是免费开源的,可以通过GitHub访问。Automate的交互界面非常友好,即使对初学者也可以快速掌握,不用修改Python代码即可使用它。此外,用户可以选择自定义要检查的信息源和信息类型。
分析师们还可以使用Automater针对IP地址、MD5哈希和域进行搜索,企业可以从一些值得信赖的网站获取和Automater相关的工具,包括:Unshorten.me、Urlvoid.com、IPvoid.com、Robtex.com、Fortiguard.com、 Labs.alienvault.com、ThreatExpert、VxVault和VirusTotal。
传送门:
https://github.com/1aN0rmus/TekDefense-Automater。
5、BotScout
BotScout是一款可以防止机器人程序在网站上填写恶意表单、发送垃圾邮件以及注册论坛的威胁搜寻工具。这款工具可以跟踪机器人程序的名称、IP地址和电子邮件地址,并将它们作为关键特征来存储和记录。用户可以通过APP来查询由BotScout提供的特征数据,并评估提交到互联网上的表单是否安全。
除了手动搜索BotScout数据库查找论坛上的机器人程序外,用户还可以使用联系表单或其他Web应用程序来测试机器人程序,并根据结果进行相关的后续操作。BotScout还可以提供定制化的反恶意机器人程序插件。该工具的典型用户包括了甲骨文公司、德意志银行、那不勒斯银行、华盛顿大学和米兰大学等。
传送门:https://botscout.com/
6、CrowdFMS
CrowdFMS是一个收集和处理钓鱼邮件信息样本的自动化程序。一旦企业的员工收到恶意的钓鱼邮件,就会自动触发警报。通过使用专有的API架构,CrowdFMS提供了一个框架,用于自动收集和处理来自VirusTotal的钓鱼邮件样本。当框架下载最近的样本后,针对用户的恶意邮件和钓鱼通知内容就会被识别并触发警报。用户还可以通过CrowdFMS定制运行这些样本的特定命令。
传送门:
https://github.com/CrowdStrike/CrowdFMS。
7、Cuckoo Sandbox
Cuckoo Sandbox是一款分析恶意软件的开源工具。它可以免费下载使用,但由于需要大量的依赖项支持,其安装配置的难度较大。不过一旦成功安装,它对使用者会大有帮助。
该工具可以分析各种恶意文件,包括可执行文件、办公文档、PDF、电子邮件、脚本和网站。由于开源特性和可靠的模块化设计,用户可以根据实际需要来定制分析环境、数据处理和报告阶段。
用户可以在Windows、Linux、macOS和Android虚拟化环境下使用Cuckoo Sandbox来检测恶意文件和网站。Volatility和YARA还允许针对受感染的虚拟化系统逐个进程地执行复杂的内存分析。
Cuckoo Sandbox有两个重要的组成:首先,它是一个Linux Ubuntu主机,内置了Windows 7系统。基于Python的Cuckoo主软件包被安装在Ubuntu主机上,一并安装的几个依赖项经配置后可充分利用Cuckoo的模块化;此外,在Ubuntu主机上,安装VirtualBox,并创建Windows 7客户。Cuckoo代理可以安装在Windows 7系统上,支持两个设备之间的通信。
传送门:
https://github.com/cuckoosandbox
8、DeepBlueCLI
DeepBlueCLI是一款由Eric Conrad开发的开源工具,可以在运行ELK(Elasticsearch、Logstash和Kibana)的Linux/Unix系统或Windows(PowerShell版本)系统上自动分析安全事件日志。
DeepBlueCLI能够快速检测Windows安全、系统、应用程序、PowerShell和Sysmon日志中发现的特定事件。此外,DeepBlueCLI还可以快速处理保存或存档的EVTX文件。尽管它查询活动事件日志服务所需时间会稍长,但整体上还是很高效。
传送门:
https://github.com/sans-blue-team/DeepBlueCLI。
9、CyberChef
CyberChef是由GCHQ开发的Web应用程序,在行业中有“网络瑞士军刀”的美誉。它采用了Apache 2.0许可证,受到Crown Copyright版权的保护。
用户可以在网络浏览器中直接使用CyberChef,进行创建二进制和十六进制转储、压缩/解压缩数据、计算哈希和校验和、解析IPv6和X.509以及更改字符编码的操作,同时还包括进行XOR和Base64编码。
借助该程序,安全分析师能够以一种非常简单的方式修改和使用数据,对数据执行编码、解码、格式化、par、压缩和提取等操作,还可以执行大规模的数学运算。
传送门:
https://github.com/gchq/CyberChef。
10、Phishing Catcher
Phishing Catcher主要通过检查提交到证书透明度日志(CTL)的可疑TLS证书信息来发现潜在的钓鱼和网络欺诈活动。其最重要的优点是几乎实时运行。由于它是通过Python编写,并使用YAML进行配置,所以还非常易于使用。
据GitHub显示,Phishing Catcher可以使用YAML配置文件来进行使用策略配置,用户也可以下载并执行默认配置来实现快速部署。不过从安全方面考虑,建议企业用户尽快调整默认配置。在macOS系统下,Phishing Catcher的安装可能有难度,企业可以考虑对该工具进行容器化处理。
传送门:
https://github.com/x0rz/phishing_catcher。
参考链接:
https://heimdalsecurity.com/blog/10-free-open-source-threat-hunting-tools/。
