• ZAP
• Wireshark
• Bloodhound Community Edition
• Autopsy
• MISP
• Let’s Encrypt
• GNU Privacy Guard
ZAP 用于漏洞研究和扫描
最好的程序员意识到自己知识的局限性。ZAP (Zed Attack Proxy)是一种渗透测试工具,旨在通过收集社区对 Web 应用程序中潜在漏洞和弱点的理解来克服我们的个人局限性 。
ZAP 位于安全团队的浏览器和被测试的 Web 应用程序之间,因此它可以在循环遍历某些可能的攻击媒介时修改任何数据包。
它是一种具有增强的搜索弱点功能的代理。任何渗透测试人员都可以运行 ZAP 规则集中编纂的一组预设攻击。必要时,可以添加自定义有效负载和规则来测试特定危险。
该系统正在积极开发中,并制定了雄心勃勃的路线图,以添加更好的脚本和对更多协议(如gRPC)的更广泛支持等功能。还提供适用于所有主要操作系统的预构建软件包。
用于数据包分析的Wireshark
检测数据泄露的最佳方法之一是监视通信线路,Wireshark 是揭示有线和无线网络中传输内容的最佳工具之一。协议分析器(现已升级到4.2 版)会解压比特并根据数百个不同网络源定义的规则对其进行解析。
数百名专业人士的贡献逐渐将一个曾经被称为 Etherreal 的简单程序变成了一个工具,它可以揭示现代网络支持的复杂通信协议的不同部分。
如果您对来自特定软件包的特定类型的数据流量感到好奇,您可以定义一个捕获过滤器来监视它,并将其放在一边,以便一组显示过滤器对其进行格式化以供分析。
该工具可在大多数操作系统上运行,包括 Windows、MacOS 以及几乎所有版本的 Unix。
近年来,该社区吸引了更多想要提供更好文档和培训的人。
专门介绍该工具的网站现在提供大量手册以及一些视频和文本课程,以学习如何使用 Wireshark 来显示线路中流过的内容。
Bloodhound 社区版和 Autopsy 用于事件响应和取证
当安全漏洞出现时,安全专家会使用取证工具,通过解压数据库、日志文件和操作系统的奇怪角落来寻找线索。许多最好的取证工具都是开源项目,不仅用于管理软件,还用于提供已知恶意软件的集合。
Bloodhound 社区版是企业工具的开源版本,用于检查一组已受攻击的机器,以找出入侵者的攻击路径。它结合使用图论和 Azure 和 Windows Active Directory 知识来揭示任何攻击的步骤。然后,安全团队可以使用这些信息来了解哪些设备已受攻击,堵塞漏洞并提高安全性。
Autopsy是另一种用于探索硬盘映像的全面工具。数十个模块扩展了该软件,提供了用于发现特定入侵类型数据的特定策略。
例如,哈希查找模块计算文件的 MD-5 和 SHA-256 哈希值,并将其与已知有问题文件的数据库进行比较。
扩展名不匹配模块查看文件内部,查看内部结构是否与其名称匹配,因为不匹配是攻击者可能隐藏某些内容的明显迹象。还提供培训、支持和自定义模块。
DFIR 团队可以部署这两种工具来接近受到感染的计算机并了解事件发生后到底发生了什么。
用于威胁情报的 MISP
开源的一大亮点是支持广泛的集体努力,恶意软件信息共享平台(通常称为MISP)就是最好的例子之一。
该系统收集有关潜在攻击载体的零星情报,并提供搜索引擎来索引它们以进行关联。调查人员和 DFIR 团队在开始分析法医图像时依赖它。
然后生成的数据库支持灵活的数据模型,其中的对象代表各种入侵迹象 (IoC)。每个节点都存储技术和非技术细节。
如果属性之间存在相似性,则支持模糊匹配的索引算法将自动发现连接。
MISP 旨在支持协作工作,因此团队可以通过图形界面构建共享时间线和事件图。还可以导出数据以支持使用其原生格式与其他工具进行交叉链接(包括 Suricata、Snort 和 Bro、OpenIOC、纯文本、CSV、MISP XML 或 JSON)。
该项目得到了欧盟的支持,许多地方政府通过项目内的各个社区协调工作。这些基于网络的工具的源代码主要以 PHP 编写,现已开放。
使用 Let's Encrypt 和 GNU Privacy Guard 进行加密
良好的加密算法是所有安全措施的基础,可提供隐私、身份验证和保证。
所有标准算法都可在多个开源库中找到,许多依赖这些算法的工具也是开源的,包括Bouncy Castle、Java Cryptographic Extensions、GnuTLS等。
例如, Let's Encrypt是一个脚本集合,可让系统管理员轻松地为 Web 服务器添加内容加密。这些脚本会询问几个基本问题,然后处理生成证书的所有工作,使 Web 用户能够保护他们读取的数据以及在数据传输过程中提交的表单。
GNU Privacy Guard是用于保护通信的 PGP 标准的完整实现。目标是使最终用户可以加密和签名其电子邮件。还支持安全 Shell 交互和 S/MIME 交互。
更多开源安全工具持续强劲发展
开源一直是安全专业人员的工具宝库。开源渗透测试框架Metasploit长期以来都是最知名的。但信息安全并不局限于研究人员、调查人员和分析师的领域,我们下面调查的五种开源安全工具也不例外。IT 管理员和软件开发人员发挥着关键作用,借助这五种工具,他们可以有所作为。
Yara 用于模式匹配
恶意软件研究人员喜欢使用Yara(VirusTotal 的 Víctor Manuel Álvarez 的开源项目)来识别和分类恶意文件样本。然而,“模式匹配瑞士军刀”的功能远不止直接对恶意软件进行分类。
它还可以作为事件响应和取证调查的一部分。您可以创建规则(由文本字符串、十六进制值或正则表达式组成),然后 Yara 会浏览可疑目录和文件以查找任何匹配项。虽然扫描文件是最常见的用途,但 Yara 还可以使用规则来检查正在运行的进程。
通过使用 Yara 分析文件,卡巴斯基实验室和 AlienVault 的研究人员能够将入侵索尼的攻击者与去年在亚洲发生的其他攻击联系起来。
一种常见的攻击技术是将系统文件替换为冒名顶替者,从而在机器中建立后门。监控系统文件是否完好无损的一种方法是查看 MD5 和 SHA-1 哈希值。
另一种方法是为系统文件中的多个字符串或值设置 Yara 规则,并定期扫描这些文件。如果扫描未找到匹配项,则说明文件已被修改是时候进行调查了。
如果攻击者将命令 shell 的副本上传到未知位置,Yara 可以查找这些副本。
除了预配置规则和您创建的规则外,Yara 还可以使用开源防病毒工具 ClamAV 的病毒签名文件,以及社区维护的YaraRules 存储库中提供的规则集。
例如,该存储库具有用于检测已知打包程序或标记恶意进程的预定义规则。当环境中扫描的文件与已上传到 VirusTotal 恶意软件数据库的文件匹配时,还可以利用 VirusTotal 私有 API 设置触发器。
Yara 不必从命令行界面运行;它有一个 Python 库可以将其集成到 Python 脚本中。
Yara 是一款功能强大的工具,能够发现文件中不受欢迎的更改,或检测不受欢迎的地方(如外发电子邮件附件)中的可疑模式(社会安全号码、管理凭据等),用途似乎无穷无尽。
基于签名的检测存在局限性,因此完全依赖 Yara 来查找恶意文件不是一个好主意。但考虑到它的灵活性,错过这个工具也不是一个好主意。
OSquery 用于查询端点的系统状态
想象一下,如果只需编写 SQL 查询,就能轻松找到 Windows、MacOS 和 Linux 端点中的恶意进程、恶意插件或软件漏洞。
这就是 OSquery背后的想法,OSquery 是 Facebook 工程师开发的一款开源工具,可将正在运行的进程、已加载的内核模块、开放的网络连接、浏览器插件、硬件事件和文件哈希等操作系统信息收集到关系数据库中。
如果您可以编写 SQL 查询,那么这就是您获得安全问题答案所需的全部内容 — 无需复杂的代码。
例如,以下查询将找到所有正在监听网络端口的进程:
SELECT DISTINCT process.name, listening.port, listening.address, process.pid FROM processes AS process JOIN listening_ports AS listening ON process.pid = listening.pid;此查询将在地址解析协议 (ARP) 缓存中查找异常,该缓存包含有关 IP 地址及其解析的以太网物理地址的信息:
SELECT address, mac, COUNT (mac)AS mac_count FROM arp_cache GROUP BY mac HAVING COUNT(mac)>1;这比用 Python 编写代码简单得多。OSquery 以直接而优雅的方式解决了一个重要问题(荣获 2017 年 InfoWorld年度技术奖)。
组件包括 OSqueryi(可与 PowerShell 一起使用的交互式 shell)和 OSqueryd(执行低级主机监控并允许您安排查询的守护程序)。
IT 管理员不愿意使用开源安全工具的原因有很多,包括对成熟度和支持的担忧。
更重要的是信任问题。企业可能不愿意依赖他们一无所知的开发商的产品来保护他们的宝贵资产。
此列表中的开源安全项目均由值得信赖的品牌支持,它们绝对值得您关注。
这些工具中的每一个都解决了特定的安全问题,并且影响有限。
尝试一下它们不会有什么坏处,它们可能会对您的工作方式以及环境的安全性产生重大影响。
原文始发于微信公众号(网络研究观):7 个不容忽视的开源安全工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论