推荐一款非常实用的HW小神器

  • A+
所属分类:安全工具

安全分析与研究

专注于全球恶意软件的分析与研究

前言

马上就要开始“HW”演练了,今天给大家推荐一款朋友开发的非常实用的HW小神器TeaPot,主要用于简单的网络攻击捕获,TeaPot是一款简单又高端的安全辅助工具,它可以有效应用于内网攻击监测、黑客身份溯源、主机病毒防范、上网行为管理,可有效提升攻防演练对抗、勒索病毒预警和尖端APT对抗能力。


TeaPot捕获网络攻击的原理是将自己做成蜜罐,在本机开通端口监听,由于软件本身不提供其他网络服务,所以一旦有监听捕获则应该判断是否为正常连接。当认为连接不正常时候,应对检查对方IP是什么设备,查明本次连接是否正常。


操作方法

软件运行之后,如下所示:

推荐一款非常实用的HW小神器

点击左上角“文件”菜单,进入软件设置界面,按正确格式设置监听端口,即可实现每次启动后自动监听指定端口,如下所示:

推荐一款非常实用的HW小神器

配置信息以分号(英文)间隔,如需要指定一个端口段可以通过横线划定。如端口监听配置:21;22;25;3389-8888。工具自带常见易受攻击端口:81;21;22;23;3389;1433;139;

445;5900;443;7001;3306;8888;一旦发现上述端口持续受到访问,应及时核查源IP性质,根据端口判断可能的攻击行为。由于浏览器或个别软件会正常访问本地80或44端口,所以软件默认未将上述两个端口纳入监听,如有需要请自行配置。


注意事项:

本软件用于内网安全监测,请不要将本软件监听端口在互联网直接开放或对外映射,避免软件出现大量报警或造成其他后果。


正常单位内网的漏扫设备、资产探测设备都会触发软件端口连接报警,请根据对方IP核查可能的连接性质。


进阶教程

TeaPot可有效应用于多种安全上网场景


01

巧妙的深度攻击诱捕

TeaPot通过将端口监听捕获的连接转发到专业蜜罐,实现了与专业蜜罐的结合,可以有效将黑客攻击吸引到专业蜜罐,达到深度分析其行为,溯源反制的功能。


02

专业的主机病毒捕获

TeaPot 采用目前业内较为少见的主机 DNS 服务代理功能,监测主机对外域名请求,协助用户判断本机是否存在远 控木马、僵尸病毒等恶意程序。目前软件自带 200 条恶意病 毒域名监测,后续将不断增加。


03

便利的病毒行为分析

TeaPot 端口监听和代理转发机制可供专业安全人员迅 速查明本机恶意程序进程。通过将指定的域名加入黑名单,TeaPot 将强制该域名指向本机,端口监听模块将捕获到恶意进程的网络连接情况,从而方便定位具体恶意文件。


04

全面的上网行为管理

TeaPot 通过 DNS 监测和屏蔽,可以很方便管理主机上网行为。由于软件对移动热点有效,所以也可用于对移动终端进行上网行为管理。比如有的家长担心孩子作业时间用手机玩游戏,那么可以通过 TeaPot 限制特定时间手机游戏启动。


05

彻底的网络环境净化

TeaPot 通过 DNS 监测和屏蔽,可以很方便管理主机有害或违法上网情况。后续我们计划在软件中集成针对全球 30 万违法博彩、色情网站的域名封堵,根据需要提供部分广告、违法广告的传播渠道。


工具获取

鉴于所有开发、测试人员都基于对安全事业的热爱,无偿提供自己的资源、能力和时间,在此我们对他们表示真诚的感谢!希望大家尽量容忍软件中存在的各种不便或问题,同时后续我们会不断的改进,欢迎各位安全同仁都能参与软件研发、资源共享,也欢迎各位安全同仁能提供意见建议,添加请注明“TeaPot 交流”。交流群组(7 日有效):

推荐一款非常实用的HW小神器

总结

“HW”演练马上就要开始了,终端安全一直是安全的主战场,不管通过什么方式进来系统之后,最后都是要突破终端安全的防御才能算是真正控制系统,终端安全也是一直是“兵家”必争之地,各个安全厂商与高端黑客组织的真正的较量其实都是在终端安全上。


现在国内终端安全人才紧缺,似乎出现了严重的断层现象,招不到合适的终端安全人才,大多数厂商都在做终端安全类的产品,其实很多厂商的终端安全能力是非常弱的,相关研发管理人员其实也不懂安全,一些厂商的终端安全团队,不管是安全分析能力、还是安全管理能力、以及安全研发能力,都不行,现在各种恶意软件横行,勒索、挖矿、窃密后门事件频频发生,APT攻击事件也是层出不穷,终端安全需要培养更多优秀的人才加进来弥补终端安全能力的严重不足,网络安全威胁未来会越来越多。


往期精彩回顾:

黑客利用Exchange漏洞传播新型勒索病毒

基于ATT&CK框架解析勒索病毒攻击

关于威胁猎捕的那些事


安全分析与研究


推荐一款非常实用的HW小神器

专注于全球恶意软件的分析与研究,跟踪全球最新的黑客组织攻击活动,提供最有价值的威胁情报,欢迎关注


推荐一款非常实用的HW小神器

王正


笔名:熊猫正正


恶意软件研究员


长期专注于全球各种流行恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究


心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!

本文始发于微信公众号(安全分析与研究):推荐一款非常实用的HW小神器

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: