Начать обзор я хотел бы с проектов, которые использует наша служба ИБ для своих внутренних целей, но которыми она поделилась и для широкого круга специалистов:
- OpenSOC. Платформа для анализа Big Data с точки зрения кибербезопасности, о которой я уже писал на Хабре.
- GOSINT. Это framework, предназначенный для сбора, обработки, сортировки и экспорта высококачественных индикаторов компрометации. В качестве источников для GOSINT могут использоваться как каналы Twitter, так и различные фиды. Проверка вредоносности индикатора может осуществляться с помощью внешних решений, таких как Cisco Umbrella, ThreatCrowd и VirusTotal. Экспортируются индикаторы в CSV или в CRITs. Более подробно о данном решении можно почитать в нашем блоге.
- netsarlacc. Это высокопроизводительная корпоративная заглушка (sinkhole) для HTTP и SMTP, которая может использоваться центрами мониторинга ИБ или службами реагирования на инциденты на предприятии. Этот инструмент работает в паре с существующими в компании средствами блокировки, карантина, captive-порталами, решениями по перенаправлению трафика, например DNS RPZ. В типичном сценарии netsarlacc выступает в качестве IP/CNAME, на который перенаправляется пользователь, попытавшийся попасть куда-то не туда или пытавшийся сделать что-то не то.
- Malspider. Это “паук”, который инспектирует ваши корпоративные Web-сайты и порталы для определения их компрометации. С помощью встроенных алгоритмов и шаблонов Malspider обнаруживает скрытые iframes, скриптовые вставки (injection), раскрытие e-mail и т.п. Помимо поиска скомпрометированных сайтов, Malspider также используется для генерации индикаторов компрометации, которые затем могут использоваться другими решениями по безопасности.
Гораздо больше open source проектов разработано не службой ИБ Cisco, а нашим исследовательским подразделением Cisco Talos, которые изучает различные угрозы и автоматизирует многие задачи, связанные со сбором доказательств, расследованием, подготовкой индикаторов компрометации и т.д.:
- Snort. Постоянно развивающаяся система обнаружения атак и анализа сетевого трафика, ставшая стандартом де-факто в отрасли сетевой безопасности. На ее базе в том числе построено большинство отечественных систем обнаружения атак.
- Daemonlogger. Легкий и быстрый сниффер, а также программный разветвитель (tap), который может применяться для целей мониторинга сетевого трафика.
- joy. Инструмент, который, в отличие от daemonlogger, захватывает не отдельные пакеты и сессии, а сетевые потоки Netflow или IPFIX, который затем можно использовать для мониторинга ИБ или расследования сетевых инцидентов. Мы этот инструмент активно использовали для анализа зашифрованного трафика и поиска в нем следов вредоносного кода без расшифрования.
- TRex. Бесплатный stateful и stateless генератор клиентского и серверного трафика L4-L7, масштабируемый до цифр в 400 Гбит/сек на одном сервере. Данный инструмент может использоваться для тестирования и сравнения различных сетевых решений, включая и область кибербезопасности, — DPI, МСЭ, IPS, NAT, балансировщики нагрузки, кеширующие сервера. Проекты joy и TRex разработаны не Talos’ом, но я их включил в этот список, так как они хорошо ложатся в общую картину.
- TAXII Log Adapter. Проект, который позволяет улучшить работу SIEM (сейчас это Splunk и Arcsight) с сервисами TAXII. Получая от них данные об угрозах, индикаторах компрометации и т.п., адаптер конвертирует их в понимаемые SIEM форматы, например, JSON или CEF.
- ClamAV. Антивирусный движок для обнаружения троянцев, вирусов и иных типов вредоносного кода. Первоначально был разработан для сканирования электронной почты, но как движок может использоваться и в других целях.
- Moflow. Framework, включающий несколько инструментов (FuzzFlow, SliceFlow, ExploitFlow), преднаначенных для поиска и приоритезации уязвимостей в программном обеспечении с помощью генерации различных тестов и анализа ответов на них в контексте ИБ.
- Razorback. Еще один Framework от Talos, представляющий собой распределенный движок для обнаружения атак на клиентских узлах.
- PE-Sig. Инструмент, позволяющий автоматизировать процесс анализа PE-секций исполняемых файлов и генерации сигнатур для известных паковщиков исполняемого кода, которые затем могут загружаться в различные средства анализа вредоносного кода, например, в ClamAV.
- TeslaCrypt Decryption Tool. Утилита командной строки, позволяющая расшифровывать файлы, зашифрованные вымогательским ПО TeslaCrypt. Более подробно о данном решении можно почитать в нашем блоге.
- Synful Knock Scanner. Сетевой сканер, идентифицирующий маршрутизаторы, зараженные вредоносным кодом SYNFul Knock.
- LockyDump. Утилита, позволяющая вытаскивать конфигурационные параметры из всех известных модификаций вредоносного кода Locky. Более подробно о данном решении можно почитать в нашем блоге.
- MBR Filter. Простейшая утилита, препятствующая записи в MBR (Master Boot Record). Более подробно о данном решении можно почитать в нашем блоге.
- FreeSentry. Плагин для компилятора LLVM, который усложняет эксплуатацию некоторых типов уязвимостей, например, некоторых классов RCE. Более подробно о данном решении можно почитать в нашем блоге.
- FIRST. Инструмент Function Identification and Recover Signature Tool — это плагин для IDA Pro, позволяющий реверс-инженерам проводить более быстро и просто статический анализ. Более подробно о данном решении можно почитать в нашем блоге.
- Flokibot. Набор скриптов для автоматизации анализа вредоносного кода Flokibot, базирующегося на том же коде, что и известный вредонос Zeus. Более подробно о данном решении можно почитать в нашем блоге.
- ROPMEMU. Инструмент, в том числе и как плагин для Volatility, для анализа сложных атак, использующих повторное использование кода. Более подробно о данном решении можно почитать в нашем блоге.
- BASS. Automated Signature Synthesizer — framework для автоматической генерации антивирусных сигнатур на базе имеющихся семплов. В отличие от сигнатур на базе хэшей, BASS генерит сигнатуры на базе шаблонов, высвобождая время и ресурсы вирусных аналитиков и реверс-инженеров. Более подробно о данном решении можно почитать в нашем блоге.
- PyREBox. Это базирующаяся на QEMU, Python-песочница для реверс-инжиниринга. Более подробно о данном решении можно почитать в нашем блоге.
- File2pcap. Эта утилита позволяет любой входной файл конвертировать в pcap, в котором исходный файл в виде аттача передается через HTTP/HTTP2/FTP/SMTP/IMAP/POP3. Более подробно о данном решении можно почитать в нашем блоге.
- Mutiny Fuzzer. Это сетевой фаззер, который позволяет записывать легитимный трафик (например, запрос браузера) в виде pcap и затем многократно отправлять его на целевой хост, модифицируя по необходимости параметры трафика и изучая ответное поведение узла. Более подробно о данном решении можно почитать в нашем блоге.
- Decept. Сетевой прокси, написанный на Python и поддерживающий TCP, SSL, UDP, Unix Sockets, Raw Sockets, IPv6 (и их любые комбинации). Позволяет записывать трафик в формате .pcap или .fuzzer (для интеграции с Mutiny Fuzzer) для его анализа, перезаписи на лету и т.п. Более подробно о данном решении можно почитать в нашем блоге.
На этом список наших open source проектов в области кибербезопасности можно было бы и завершить, но нет. У нас постоянно появляется что-то новое — то для внутренней деятельности службы ИБ, то для исследований вредоносного кода в рамках Cisco Talos, то для иных проектов, которые ведет Cisco (как пример, joy или TRex). Отслеживать все это можно на наших страницах в Интернет:
Комментариев нет:
Отправить комментарий