Part1 前言
大家好,我是ABC_123。过去几个月里,"蓝队分析取证工具箱"在广大网友的反馈和建议基础上进行了大量优化与功能扩展。本次更新重点强化了以下模块:溯源反制功能、pcap流量包分析、内存马分析、Java序列化文件分析、Webshell 流量分析等。同时,还新增了多个实用的安全分析和初步取证功能。后续会在数字取证方面进一步更新,敬请期待。
声明:蓝队分析取证工具箱目前未与任何组织或者个人合作,该工具会一直免费更新下去,文末有下载地址。商务合作可以联系wx: abc123info
Part2 新增功能介绍
- pcap流量包分析功能
该功能目前仍处于初步开发阶段,当前仅支持标准.pcap 格式的流量包文件。如需处理.pcapng格式,建议先通过 Wireshark 等工具进行格式转换。支持对 .pcap 文件中的 TCP 流量、UDP 流量及 DNS 流量进行实时解析与占比分析,能够按协议类型统计数据包数量,并对高频访问行为进行识别。同时,可自动统计访问量排名前二十的源 IP 和目的 IP,并结合 IP 地理位置信息进行归属地解析,辅助区分国内外潜在恶意IP地址,提升威胁研判效率。
该模块可将流量数据解析为可视化的列表视图,方便后续分析与研判。
该模块支持将 .pcap 文件中每个时间段的流量包数量进行统计,并以折线图的形式直观展示网络活动变化趋势,并将排名前20 的源ip地址和目的ip地址排序并展示出来。
该功能可对 DNS 流量中的域名访问记录进行统计与行为分析,可以辅助发现dga域名访问攻击行为和其他恶意域名行为。
该功能可对网络流量中的目的端口使用情况进行统计分析,自动提取并展示访问频次排名前二十的目的端口(Top 20),该功能可用于发现一些针对目的端口的一些攻击行为。
- 新增溯源反制功能
添加蚁剑反制、sqlmap反制、Goby反制功能,新增CS密码爆破功能,新增新版NPS、旧版NSP的反制功能。
如下图所示,新增CS服务端密码爆破功能,对于新版的CS,添加了时间阈值限制,爆破速度会非常慢。
如下图所示,新增Goby反制功能,该功能仅适用于老版本的Goby。
- 新增krakatau字节码分析功能
本次更新新增了对 Krakatau 工具的集成,支持对 .class 字节码文件进行深入分析。krakatau 作为一个由 Python 编写的反编译工具,在融合进java框架里面耗费很大心力。该功能的加入显著增强了工具在字节码分析与恶意代码审查方面的能力。
在原有的Base64编码、Bytes数组编码、BCEL编码、Hex编码、Base64+Gzip编码的基础上,新增Unicode编码、Xor+Base64编码的内存马反编译功能。
- Shiro、CAS、Log4j2反序列化分析功能
对于shiro、CAS反序列化数据包的分析,添加“Java序列化文件内部结构分析”功能,可以直接以文本形式查看该文件,提升对反序列化数据的理解效率与分析可读性。
在 Log4j2 相关功能模块中,本次更新对解密算法进行了深度优化,现已支持解密互联网上广泛流传的各类加密或混淆形式的恶意 Payload。
- 新增蚁剑流量解密功能
在原有的冰蝎、哥斯拉、天蝎 webshell流量解密的基础上,新增蚁剑加密流量解密功能。同时引入了“反编译后 Java 代码结果查看”功能,能够对解密后的 Java 字节码内容进行反编译,并以源码形式呈现,便于直接分析 WebShell 通信中携带的恶意 Java 代码逻辑。
扩充杀软库,提升进程识别准确度。
- 新增JWT Token解密功能
新增两种方式对JWT token进行解密:一种直接套用网上的js源码,一种直接使用纯JAVA代码编写。
蓝队分析取证工具箱v2.16版本的下载地址
Part3 总结
1.该蓝队分析取证工具箱会一直更新下去,并且免费,大家有什么建议或者发现什么bug欢迎给我留言。
原文始发于微信公众号(钟毓安全):第121篇:蓝队分析取证工具箱2.16版+流量分析+大幅度更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论