<< Контент скрыт от гостей. Зарегистрируйтесь, чтобы снять ограничение ! >>

Система обнаружения вредоносного трафика: Maltrail

Система обнаружения вредоносного трафика 

Maltrail является системой обнаружения вредоносного трафика, которая использует общедоступные черные списки, содержащие вредоносные и/или обычно подозрительные маршруты, вместе со статическими маршрутами, составленными из различных AV отчетов, и составленный пользователем список, где маршрутом может быть, что угодно из имени домена (например, zvpprsensinaix.com для вредоносного ПО Banjori), URL (например, http://109.162.38.120/harsh02.exe для известных вредоносных исполняемых файлов ), IP адреса (например, 185.130.5.231 для известного атакующего) или значение заголовка HTTP User-Agent (например, sqlmap для автоматических SQL инъекций и инструмента захвата базы данных). Также, она использует (необязательно) усовершенствованные эвристические механизмы, которые могут помочь в обнаружении неизвестных угроз (например, новых вредоносных программ).

Скачать Maltrail

 

Система обнаружения вредоносного трафика: Maltrail

Используются следующие черные списки (т.е. каналы):

alienvault, autoshun, badips, bambenekconsultingc2dns, bambenekconsultingc2ip, bambenekconsultingdga, bitcoinnodes, blocklist, botscout, bruteforceblocker, ciarmy, cruzit,cybercrimetracker, deepviz, dataplanesipinvitation, dataplanesipquery, dataplane, dshielddns, dshieldip, emergingthreatsbot, emergingthreatscip, emergingthreatsdns, feodotrackerdns, malwaredomainlist, malwaredomains, malwarepatrol, maxmind, myip, nothink, openbl, openphish, packetmailcarisirt, packetmailramnode, palevotracker, policeman, proxylists, proxyrss, proxy, ransomwaretrackerdns, ransomwaretrackerip, ransomwaretrackerurl, riproxies, rutgers, sblam, securityresearch, snort, socksproxy, sslipbl, sslproxies, torproject, torstatus, turris, urlvir, voipbl, vxvault, zeustrackerdns, zeustrackerip, zeustrackermonitor, zeustrackerurl, etc.

Что касается статических записей, маршруты для следующих вредоносных объектов (например, вредоносный C&Cs) были включены вручную (из различных отчетов AV):

aboc, adwind, alienspy, alureon, android_acecard, android_adrd, android_alienspy, android_arspam, android_backflash, android_basebridge, android_chuli, android_claco, android_coolreaper, android_counterclank, android_cyberwurx, android_dendoroid, android_dougalek, android_droidjack, android_droidkungfu, android_enesoluty,

android_ewalls, android_exprespam, android_fakebanco, android_fakedown, android_fakelog, android_fakemart, android_fakemrat, android_fakeneflic, android_fakesecsuit, android_feabme, android_flexispy, android_frogonal, android_geinimi, android_ghostpush, android_gmaster, android_godwon, android_golddream, android_gonesixty, android_ibanking, android_kemoge, android_lockdroid, android_lovetrap, android_maistealer, android_maxit, android_oneclickfraud, android_opfake, android_ozotshielder, android_pikspam, android_pjapps, android_qdplugin, android_repane, android_roidsec, android_samsapo, android_sandorat, android_selfmite, android_simplocker, android_skullkey, android_sndapps, android_spytekcell, android_stealer, android_stels, android_teelog, android_tetus, android_tonclank, android_torec, android_uracto, android_usbcleaver, android_walkinwat, android_windseeker, android_zertsecurity, angler, aridviper, artro, avalanche, axpergle, babar, balamid, bamital, bankapol, bankpatch, banprox, bayrob, bedep, blackenergy, blackvine, bredolab, bubnix, buterat, carbanak, carberp, careto, casper, changeup, chanitor, chekua, chewbacca, cleaver, cloud_atlas, conficker, contopee, corebot, cosmicduke,



couponarific, cridex, crilock, cryptodefense, cryptolocker, cryptowall, ctblocker, cutwail, darkhotel, defru, desertfalcon, destory, dnstrojan, dorifel, dorkbot, drapion, dridex, dukes, dursg, dyreza, elf_aidra, elf_billgates, elf_darlloz, elf_ekoms, elf_fysbis, elf_groundhog, elf_hacked_mint, elf_mayhem, elf_mokes, elf_pinscan, elf_rekoobe, elf_shelldos, elf_sshscan, elf_themoon, elf_turla, elf_xnote, elf_xorddos, elpman, emotet, equation, evilbunny, expiro, fakeav, fakeran, fareit, fbi_ransomware, fiexp, fignotok, fin4, finfisher, fraudload, fynloski, fysna, gamarue, gauss, gbot, generic, gozi, harnig, helompy, hiloti, htran, immortal, ios_keyraider, ios_muda, ios_oneclickfraud, ios_specter, jenxcus, kegotip, kolab, koobface, korgo, kovter, kradellsh, locky, lollipop, lotus_blossom, luckycat, mebroot, miniduke, modpos, morto, nbot, necurs, nettraveler, neurevt, nitol, nivdort, nonbolqu, nuqel, nwt, nymaim, oficla, onkods, optima, osx_keranger, osx_salgorea, osx_wirelurker, palevo, pdfjsc, pift, plugx, ponmocup, poshcoder, powelike, proslikefan, pushdo, qakbot, ramnit, ransirac, reactorbot, redoctober, redsip, renocide, reveton, rovnix, runforestrun, russian_doll, rustock, sality, sathurbot, scieron, seaduke, sednit, sefnit, shifu, shylock, siesta, silentbrute, simda, sinkhole_1and1, sinkhole_abuse, sinkhole_anubis, sinkhole_arbor, sinkhole_blacklab, sinkhole_blacklistthisdomain, sinkhole_botnethunter, sinkhole_certpl, sinkhole_checkpoint, sinkhole_conficker, sinkhole_cryptolocker, sinkhole_drweb, sinkhole_dynadot, sinkhole_dyre, sinkhole_farsight, sinkhole_fbizeus, sinkhole_fitsec, sinkhole_fnord, sinkhole_fsecure, sinkhole_fsi, sinkhole_gameoverzeus, sinkhole_georgiatech, sinkhole_gladtech, sinkhole_haiyao, sinkhole_kaspersky, sinkhole_microsoft, sinkhole_shadowserver, sinkhole_sidnlabs, sinkhole_sinkdns,

sinkhole_sugarbucket, sinkhole_unknown, sinkhole_xaayda, sinkhole_zinkhole, skynet, skyper, smsfakesky, snake, snifula, sockrat, sofacy, sohanad, spyeye, stuxnet, synolocker, tdss, teamspy, teerac, teslacrypt, themida, tibet, tinba, torpig, torrentlocker, unruy, upatre, utoti, vawtrak, virut, vittalia, vobfus, volatilecedar,

vundo, waledac, waterbug, wecorl, xcodeghost, yenibot, yimfoca, zaletelly, zeroaccess, zeus, zlob, etc.

Архитектура Maltrail

Maltrail построен на следующей архитектуре Traffic (Трафик) -> Sensor (сенсор) <-> Server (Сервер) <-> Client (Клиент)Sensor(s) является автономным компонентом, работающим на узле мониторинга (например, Linux платформа подключенная пассивно к SPAN/mirroring порту или прозрачно встроена в Linux мост) или на автономной машине (например, Honeypot) где он «мониторит» проходящий трафик на наличие маршрутов/пунктов, попадающих в черный список (т.е. имена доменов, URL и/или IP). В случае положительного совпадения он отправляет детали события на (центральный) Сервер, (central) Server, где они хранятся в соответствующем каталоге ведения журнала (т.е. LOG_DIR, описанный в секции Конфигурация). Если Sensor работает на той же машине, что и Server (конфигурация по умолчанию), записи будут храниться непосредственно в локальном каталоге ведения журнала. Иначе, они будут отправлены через UDP сообщения на удаленный сервер (т.е. LOG_SERVER, описанный в секции Конфигурация).

Maltrail - система обнаружения вредоносного трафика


Главная функция Сервера — это сохранить детали события и предоставить back-end поддержку для отчетности веб-приложения. В конфигурации по умолчанию, сервер и сенсор будут работать на одной и той же машине. Таким образом, чтобы предотвратить потенциальные нарушения в работе сенсора, часть front-отчетности базируется на архитектуре «Fat client» (т.е. вся пост-обработка данных выполняется внутри экземпляра веб-браузера клиента). События (т.е. записи журнала) за выбранный (24 часа) период передаются Клиенту, где отчетность веб-приложения несет полную ответственность за часть презентации. Данные отправляются клиенту в сжатых блоках, где они обрабатываются последовательно. Финальный отчет создается в очень сжатой форме, практически позволяя представить бесконечное количество событий.

Примечание: Компонент Сервера в принципе может быть пропущен, и можно просто использовать автономный сенсор. В таком случае, все события будут храниться в локальном каталоге ведения журнала, и запись в журнале можно будет просмотреть вручную или с помощью некоторых CSV приложений для чтения.


Спонсор публикаций Cyber-512

Готовим специалиста в области ИБ  - Воспитаем специалиста в области ИБ с нуля до начального уровня. После обучения сможете оказывать услуги по проведению тестирования на проникновение ( легальный хакинг )

Похожие темы

Декомпиляция приложений для android... При реверсинге может возникнуть 2 случая: 1. Простой: У вас на руках есть .apk файл приложения. Можно приступать к реверсу.​ 2. Сложный: Приложе...
База данных эксплойтов от Offensive Security (созд... Git репозиторий Базы данных эксплойтов и searchsploit: сходства и различия База данных эксплойтов (The Exploit Database) — это архив публи...
Пентест руками ламера — 9 Всю ночь ты не спал, судорожно водил мышкой по папкам с презентациями (ты же подготовил их?), проверяя их работоспособность, двестипятьдесятдвар...
Аудит и атака SIP протокола с помощью SIPVicious... Что-то сегодня меня пробило на статьи по SIP, эта, скорее всего, будет на сегодня завершающей. Просто хотел напомнить, что в состав Kali Linux давн...
Способ для создания сесии с помощью флешки... Здраствуйте, в данной статье я опишу способ для создания сесии с помощью флешки Скачиваем екслпоит. (Вот все версии на которых "поддерживаеться" ек...