Chủ đề này nói về một dự án bảo mật nguồn mở khác "Maltrail". Đây làmột hệ thống phát hiện lưu lượng truy cập độc hại sử dụng danh sách đen/danh sách thư rác có sẵn công khai về các dấu vết độc hại và đáng ngờ. Hệ thống này cũng sử dụng các dấu vết tĩnh từ nhiều báo cáo của AntiVirus và danh sách tùy chỉnh do người dùng xác định. Các tên miền độc hại của nhiều loại phần mềm độc hại, URL của các tệp thực thi độc hại đã biết và địa chỉ IP của những kẻ tấn công đã biết là các dấu vết cho hệ thống này. Hệ thống này có khả năngcác cơ chế tìm kiếm nâng cao để phát hiện các mối đe dọa chưa biết (ví dụ: phần mềm độc hại mới). Địa chỉ github của dự án là: https://github.com/stamparm/maltrail/
Trang github hiển thị các tài nguyên của danh sách đen (tức là nguồn cấp dữ liệu), mục nhập tĩnh và dấu vết của nhiều C&C hoặc hố đen phần mềm độc hại được sử dụng trong hệ thống phát hiện này.
Cảm biến là một thành phần/máy độc lập chạy trên nền tảng Linux được kết nối thụ động với cổng SPAN/phản chiếu hoặc trực tuyến trong suốt trên cầu nối Linux, tại đó nó "theo dõi" lưu lượngđi qua đối với các mục/dấu vết nằm trong danh sách đen (tức là tên miền, URL và/hoặc IP). Chi tiết sự kiện được gửi đến (trung tâm)Máy chủTrong trường hợp khớp đúng và được lưu trữ bên trong thư mục ghi nhật ký thích hợp.Nếu cả Cảm biến và Máy chủ đều chạy trên cùng một máy (cấu hình mặc định), nhật ký được lưu trữ trực tiếp vào thư mục ghi nhật ký cục bộ. Tất cả các sự kiện hoặc mục nhật ký cho khoảng thời gian đã chọn (24 giờ) được chuyển đến Máy khách, ứng dụng web báo cáo chịu trách nhiệm trình bày các sự kiện. Trong bài viết này, các thành phần Máy chủ & Máy chủ chạy trên cùng một máy.
Bạn có thể tải xuống từ trang web corsecuity và cài đặt bằng lệnh sau. Nếu gói "python-setuptools" đã được cài đặt thì hãy cài đặt trước khi cài đặt gói pcapy. Lệnh sau đây cài đặt gói setuptools trên nền tảng Ubuntu.
Nếu danh sách Maltrail không được cập nhật thì nó sẽ được cập nhật trong khi chạy cảm biến trên máy.
Ảnh chụp màn hình ở trên cho thấy cảm biến đang chạy thành công trên máy.
Như được hiển thị trong ảnh chụp nhanh ở trên, máy chủ HTTP đang chạy trên cổng 8338. Cổng 8338 phải được phép trên tường lửa nếu giao diện web được truy cập sau tường lửa.
Khi vào bảng điều khiển, người dùng quản trị sẽ được hiển thị giao diện báo cáo sau.
Như được hiển thị bên dưới, cả hai cuộc tấn công (ping đến địa chỉ IP độc hại) cũng được hiển thị ở giao diện người dùng.
-------------------------------------------------------------------------------------------------------
Phần trên cùng của giao diện người dùng có một dòng thời gian trượt và được kích hoạt sau khi nhấp vào nhãn ngày hiện tại và/hoặc biểu tượng lịch. Phần giữa chứa bản tóm tắt các sự kiện được hiển thị. Hộp Sự kiện biểu thị tổng số sự kiện trong khoảng thời gian 24 giờ đã chọn, trong đó các màu khác nhau biểu thị các loại sự kiện khác nhau như sự kiện dựa trên IP, sự kiện dựa trên DNS và sự kiện dựa trên URL. Nhấp vào các hộp để biết thêm chi tiết về từng biểu đồ.
Phần dưới cùng của giao diện người dùng chứa biểu diễn cô đọng các sự kiện đã ghi dưới dạng bảng phân trang.
phần cảm biến
---------------------------------------------------------------------------------------------------
Trong phần máy chủ, người dùng có thể định nghĩa cổng lắng nghe và địa chỉ IP. Người dùng có thể bật dịch vụ SSL để bảo vệ lưu lượng truy cập web.
phần máy chủ
Trang github hiển thị các tài nguyên của danh sách đen (tức là nguồn cấp dữ liệu), mục nhập tĩnh và dấu vết của nhiều C&C hoặc hố đen phần mềm độc hại được sử dụng trong hệ thống phát hiện này.
Kiến trúc triển khai
Theo thông tin được cung cấp trên trang web của dự án, Maltrail dựa trên kiến trúc Lưu lượng->Cảm biến<->Máy chủ<->Máy khách.Cảm biến là một thành phần/máy độc lập chạy trên nền tảng Linux được kết nối thụ động với cổng SPAN/phản chiếu hoặc trực tuyến trong suốt trên cầu nối Linux, tại đó nó "theo dõi" lưu lượngđi qua đối với các mục/dấu vết nằm trong danh sách đen (tức là tên miền, URL và/hoặc IP). Chi tiết sự kiện được gửi đến (trung tâm)Máy chủTrong trường hợp khớp đúng và được lưu trữ bên trong thư mục ghi nhật ký thích hợp.Nếu cả Cảm biến và Máy chủ đều chạy trên cùng một máy (cấu hình mặc định), nhật ký được lưu trữ trực tiếp vào thư mục ghi nhật ký cục bộ. Tất cả các sự kiện hoặc mục nhật ký cho khoảng thời gian đã chọn (24 giờ) được chuyển đến Máy khách, ứng dụng web báo cáo chịu trách nhiệm trình bày các sự kiện. Trong bài viết này, các thành phần Máy chủ & Máy chủ chạy trên cùng một máy.
Điều kiện tiên quyết
Trong hướng dẫn này, Maltrail sẽ được cài đặt trên VM Ubuntu 18.04 LTS. Để chạy Maltrail đúng cách, Python2.7là bắt buộc với gói pcapy. Không có yêu cầu nào khác, ngoài việc chạy thành phần "Cảm biến và Máy chủ"với quyền root. Lệnh sau cài đặt gói python-pcapy trên máy Ubuntu. Nó cũng sẽ cài đặt các phụ thuộc bắt buộc của gói.
Mã:
apt-get install git python-pcapyBạn có thể tải xuống từ trang web corsecuity và cài đặt bằng lệnh sau. Nếu gói "python-setuptools" đã được cài đặt thì hãy cài đặt trước khi cài đặt gói pcapy. Lệnh sau đây cài đặt gói setuptools trên nền tảng Ubuntu.
Mã:
apt-get install python-setuptools
Mã:
python setup.py installChạy hệ thống Maltrail
Lệnh sau đây tải xuống gói mới nhất trên máy Ubuntu và sau đó chạy các tập lệnh python của máy chủ & cảm biến trong thiết bị đầu cuối
Mã:
git clone https://github.com/stamparm/maltrail.git
Mã:
cd maltrail/Khởi động cảm biến Maltrail
Lệnh sau sẽ khởi động cảm biến trong thiết bị đầu cuối.
Mã:
python sensor.pyNếu danh sách Maltrail không được cập nhật thì nó sẽ được cập nhật trong khi chạy cảm biến trên máy.
Ảnh chụp màn hình ở trên cho thấy cảm biến đang chạy thành công trên máy.
Khởi động máy chủ Maltrail
Để khởi động "Máy chủ"trên cùng một máy, hãy mở một thiết bị đầu cuối mới và thực hiện lệnh sau:
Mã:
cd maltrail
Mã:
python server.pyNhư được hiển thị trong ảnh chụp nhanh ở trên, máy chủ HTTP đang chạy trên cổng 8338. Cổng 8338 phải được phép trên tường lửa nếu giao diện web được truy cập sau tường lửa.
Bảng điều khiển Maltrail
Truy cập giao diện báo cáo bằng cách truy cập http://local-p-ip:8338(thông tin đăng nhập mặc định được lưu trong tệp maltrail.conf) từ trình duyệt web của bạn. Như hiển thị bên dưới, người dùng sẽ được hiển thị cửa sổ xác thực sau. Nhập thông tin đăng nhậpadmin:changeme! để vào cổng thông tin web của Matrail.Khi vào bảng điều khiển, người dùng quản trị sẽ được hiển thị giao diện báo cáo sau.
Kiểm tra Maltrail
Bước kiểm tra sau được đưa ra trên trang web của dự án. Địa chỉ IP "136.161.101.53" là địa chỉ độc hại, do đó Maltrail phát hiện ra địa chỉ này và hiển thị trong Bảng điều khiển.
Mã:
ping -c 5 136.161.101.53
Mã:
cat /var/log/maltrail/02-10-2018.logNhư được hiển thị bên dưới, cả hai cuộc tấn công (ping đến địa chỉ IP độc hại) cũng được hiển thị ở giao diện người dùng.
-------------------------------------------------------------------------------------------------------
Phần trên cùng của giao diện người dùng có một dòng thời gian trượt và được kích hoạt sau khi nhấp vào nhãn ngày hiện tại và/hoặc biểu tượng lịch. Phần giữa chứa bản tóm tắt các sự kiện được hiển thị. Hộp Sự kiện biểu thị tổng số sự kiện trong khoảng thời gian 24 giờ đã chọn, trong đó các màu khác nhau biểu thị các loại sự kiện khác nhau như sự kiện dựa trên IP, sự kiện dựa trên DNS và sự kiện dựa trên URL. Nhấp vào các hộp để biết thêm chi tiết về từng biểu đồ.
Phần dưới cùng của giao diện người dùng chứa biểu diễn cô đọng các sự kiện đã ghi dưới dạng bảng phân trang.
Cấu hình của Cảm biến/Máy chủ Maltrail
Cấu hình Cảm biến của hệ thống Maltrail nằm bên trong phầnmaltrail.confcủa tệp[Cảm biến]. Các tham số cấu hình được giải thích bằng các bình luận. Trong tệp cấu hình này, người dùng có thể định nghĩa các thiết lập như thời gian cập nhật nguồn cấp dữ liệu tĩnh, giao diện ảo hoặc vật lý của Linux để chạy hệ thống Maltrail, v.v.phần cảm biến
---------------------------------------------------------------------------------------------------
Trong phần máy chủ, người dùng có thể định nghĩa cổng lắng nghe và địa chỉ IP. Người dùng có thể bật dịch vụ SSL để bảo vệ lưu lượng truy cập web.
phần máy chủ
Lưu trữ nhật ký
Tất cả các sự kiện được phát hiện bởi cảm biến Maltrail đều được lưu trữ bên trong thư mục ghi nhật ký của Máy chủ (tùy chọnLOG_DIRbên trong phần tệp maltrail.confđể đặt đường dẫn của tệp). Tất cả các sự kiện được phát hiện đều được lưu trữ theo ngày.Quét cổng
Nó cũng phát hiện quá nhiều lần thử kết nối đến một số cổng TCP nhất định. Hệ thống Maltrail cảnh báo về khả năng quét cổng vì nó phát hiện ra các cơ chế theo kinh nghiệm.Kết quả dương tính giả
Maltrail dễ bị "kết quả dương tính giả", giống như tất cả các giải pháp bảo mật khác. Trong những trường hợp như vậy, Maltrail sẽ (đặc biệt là trong trường hợpđáng ngờcác mối đe dọa) ghi lại hành vi thường xuyên của người dùng và đánh dấu là độc hại và/hoặc đáng ngờ. Giống như, công cụ tìm kiếm của Google cũng quét các tên miền và địa chỉ IP. Vì vậy, đôi khi địa chỉ IP hợp lệ của Google sẽ trở thành kẻ tấn công vì có nhiều lần thử trên các tên miền/địa chỉ IP hợp lệ.