Перевод: Анна Давыдова
Источник: n0where.net
Система обнаружения вредоносного трафика
Maltrail является системой обнаружения вредоносного трафика, которая использует общедоступные черные списки, содержащие вредоносные и/или обычно подозрительные маршруты, вместе со статическими маршрутами, составленными из различных AV отчетов, и составленный пользователем список, где маршрутом может быть, что угодно из имени домена (например, zvpprsensinaix.com для вредоносного ПО Banjori), URL (например, http://109.162.38.120/harsh02.exe для известных вредоносных исполняемых файлов ), IP адреса (например, 185.130.5.231 для известного атакующего) или значение заголовка HTTP User-Agent (например, sqlmap для автоматических SQL инъекций и инструмента захвата базы данных). Также, она использует (необязательно) усовершенствованные эвристические механизмы, которые могут помочь в обнаружении неизвестных угроз (например, новых вредоносных программ).
Скачать Maltrail
Используются следующие черные списки (т.е. каналы):
alienvault, autoshun, badips, bambenekconsultingc2dns, bambenekconsultingc2ip, bambenekconsultingdga, bitcoinnodes, blocklist, botscout, bruteforceblocker, ciarmy, cruzit,cybercrimetracker, deepviz, dataplanesipinvitation, dataplanesipquery, dataplane, dshielddns, dshieldip, emergingthreatsbot, emergingthreatscip, emergingthreatsdns, feodotrackerdns, malwaredomainlist, malwaredomains, malwarepatrol, maxmind, myip, nothink, openbl, openphish, packetmailcarisirt, packetmailramnode, palevotracker, policeman, proxylists, proxyrss, proxy, ransomwaretrackerdns, ransomwaretrackerip, ransomwaretrackerurl, riproxies, rutgers, sblam, securityresearch, snort, socksproxy, sslipbl, sslproxies, torproject, torstatus, turris, urlvir, voipbl, vxvault, zeustrackerdns, zeustrackerip, zeustrackermonitor, zeustrackerurl, etc.
Что касается статических записей, маршруты для следующих вредоносных объектов (например, вредоносный C&Cs) были включены вручную (из различных отчетов AV):
aboc, adwind, alienspy, alureon, android_acecard, android_adrd, android_alienspy, android_arspam, android_backflash, android_basebridge, android_chuli, android_claco, android_coolreaper, android_counterclank, android_cyberwurx, android_dendoroid, android_dougalek, android_droidjack, android_droidkungfu, android_enesoluty,
android_ewalls, android_exprespam, android_fakebanco, android_fakedown, android_fakelog, android_fakemart, android_fakemrat, android_fakeneflic, android_fakesecsuit, android_feabme, android_flexispy, android_frogonal, android_geinimi, android_ghostpush, android_gmaster, android_godwon, android_golddream, android_gonesixty, android_ibanking, android_kemoge, android_lockdroid, android_lovetrap, android_maistealer, android_maxit, android_oneclickfraud, android_opfake, android_ozotshielder, android_pikspam, android_pjapps, android_qdplugin, android_repane, android_roidsec, android_samsapo, android_sandorat, android_selfmite, android_simplocker, android_skullkey, android_sndapps, android_spytekcell, android_stealer, android_stels, android_teelog, android_tetus, android_tonclank, android_torec, android_uracto, android_usbcleaver, android_walkinwat, android_windseeker, android_zertsecurity, angler, aridviper, artro, avalanche, axpergle, babar, balamid, bamital, bankapol, bankpatch, banprox, bayrob, bedep, blackenergy, blackvine, bredolab, bubnix, buterat, carbanak, carberp, careto, casper, changeup, chanitor, chekua, chewbacca, cleaver, cloud_atlas, conficker, contopee, corebot, cosmicduke,
couponarific, cridex, crilock, cryptodefense, cryptolocker, cryptowall, ctblocker, cutwail, darkhotel, defru, desertfalcon, destory, dnstrojan, dorifel, dorkbot, drapion, dridex, dukes, dursg, dyreza, elf_aidra, elf_billgates, elf_darlloz, elf_ekoms, elf_fysbis, elf_groundhog, elf_hacked_mint, elf_mayhem, elf_mokes, elf_pinscan, elf_rekoobe, elf_shelldos, elf_sshscan, elf_themoon, elf_turla, elf_xnote, elf_xorddos, elpman, emotet, equation, evilbunny, expiro, fakeav, fakeran, fareit, fbi_ransomware, fiexp, fignotok, fin4, finfisher, fraudload, fynloski, fysna, gamarue, gauss, gbot, generic, gozi, harnig, helompy, hiloti, htran, immortal, ios_keyraider, ios_muda, ios_oneclickfraud, ios_specter, jenxcus, kegotip, kolab, koobface, korgo, kovter, kradellsh, locky, lollipop, lotus_blossom, luckycat, mebroot, miniduke, modpos, morto, nbot, necurs, nettraveler, neurevt, nitol, nivdort, nonbolqu, nuqel, nwt, nymaim, oficla, onkods, optima, osx_keranger, osx_salgorea, osx_wirelurker, palevo, pdfjsc, pift, plugx, ponmocup, poshcoder, powelike, proslikefan, pushdo, qakbot, ramnit, ransirac, reactorbot, redoctober, redsip, renocide, reveton, rovnix, runforestrun, russian_doll, rustock, sality, sathurbot, scieron, seaduke, sednit, sefnit, shifu, shylock, siesta, silentbrute, simda, sinkhole_1and1, sinkhole_abuse, sinkhole_anubis, sinkhole_arbor, sinkhole_blacklab, sinkhole_blacklistthisdomain, sinkhole_botnethunter, sinkhole_certpl, sinkhole_checkpoint, sinkhole_conficker, sinkhole_cryptolocker, sinkhole_drweb, sinkhole_dynadot, sinkhole_dyre, sinkhole_farsight, sinkhole_fbizeus, sinkhole_fitsec, sinkhole_fnord, sinkhole_fsecure, sinkhole_fsi, sinkhole_gameoverzeus, sinkhole_georgiatech, sinkhole_gladtech, sinkhole_haiyao, sinkhole_kaspersky, sinkhole_microsoft, sinkhole_shadowserver, sinkhole_sidnlabs, sinkhole_sinkdns,
sinkhole_sugarbucket, sinkhole_unknown, sinkhole_xaayda, sinkhole_zinkhole, skynet, skyper, smsfakesky, snake, snifula, sockrat, sofacy, sohanad, spyeye, stuxnet, synolocker, tdss, teamspy, teerac, teslacrypt, themida, tibet, tinba, torpig, torrentlocker, unruy, upatre, utoti, vawtrak, virut, vittalia, vobfus, volatilecedar,
vundo, waledac, waterbug, wecorl, xcodeghost, yenibot, yimfoca, zaletelly, zeroaccess, zeus, zlob, etc.
Архитектура Maltrail
Maltrail построен на следующей архитектуре Traffic (Трафик) -> Sensor (сенсор) <-> Server (Сервер) <-> Client (Клиент). Sensor(s) является автономным компонентом, работающим на узле мониторинга (например, Linux платформа подключенная пассивно к SPAN/mirroring порту или прозрачно встроена в Linux мост) или на автономной машине (например, Honeypot) где он «мониторит» проходящий трафик на наличие маршрутов/пунктов, попадающих в черный список (т.е. имена доменов, URL и/или IP). В случае положительного совпадения он отправляет детали события на (центральный) Сервер, (central) Server, где они хранятся в соответствующем каталоге ведения журнала (т.е. LOG_DIR, описанный в секции Конфигурация). Если Sensor работает на той же машине, что и Server (конфигурация по умолчанию), записи будут храниться непосредственно в локальном каталоге ведения журнала. Иначе, они будут отправлены через UDP сообщения на удаленный сервер (т.е. LOG_SERVER, описанный в секции Конфигурация).
Главная функция Сервера — это сохранить детали события и предоставить back-end поддержку для отчетности веб-приложения. В конфигурации по умолчанию, сервер и сенсор будут работать на одной и той же машине. Таким образом, чтобы предотвратить потенциальные нарушения в работе сенсора, часть front-отчетности базируется на архитектуре «Fat client» (т.е. вся пост-обработка данных выполняется внутри экземпляра веб-браузера клиента). События (т.е. записи журнала) за выбранный (24 часа) период передаются Клиенту, где отчетность веб-приложения несет полную ответственность за часть презентации. Данные отправляются клиенту в сжатых блоках, где они обрабатываются последовательно. Финальный отчет создается в очень сжатой форме, практически позволяя представить бесконечное количество событий.
Примечание: Компонент Сервера в принципе может быть пропущен, и можно просто использовать автономный сенсор. В таком случае, все события будут храниться в локальном каталоге ведения журнала, и запись в журнале можно будет просмотреть вручную или с помощью некоторых CSV приложений для чтения.