您的每一个关注、点赞,都是我坚持更新的动力,感谢!❤
Maltrail 是一款非常实用的开源恶意流量检测工具,尤其适合那些预算有限但又需要有效监控网络环境中潜在恶意活动的组织。
它基于 YARA 规则(一种用于定义恶意软件样本特征的规则语言)和自定义的 IOC(Indicator of Compromise,入侵指标)列表,来识别和分析网络流量中的恶意行为。实现的方法就是利用一些开源的情报,来作为IOC,同时自己部署流量探针来实现监测。
01
—
maltrail项目简介
Maltrail是一种恶意流量检测系统,它利用包含恶意和/或一般可疑踪迹的公开(黑)名单,以及从各种 AV 报告和自定义用户定义列表中编译的静态踪迹,其中踪迹可以是域名、URL、IP 地址或 HTTP User-Agent 标头值。
此外,它还使用(可选)高级启发式机制,可帮助发现未知威胁(例如新恶意软件)。
Maltrail 的主要特点包括:
-
开源免费:Maltrail 是完全开源的,这意味着你可以自由地使用、修改和分发它,无需支付任何费用。
-
灵活部署:Maltrail 可以部署在多种操作系统上,包括 Linux、macOS 和 Windows,使其能够轻松集成到各种网络环境中。
-
实时检测:通过部署流量探针(如 pcap 捕获工具),Maltrail 能够实时捕获并分析网络流量,及时发现潜在的恶意活动。
-
IOC 自定义:用户可以根据需要自定义 IOC 列表,以检测特定的恶意软件或攻击模式。
-
集成情报源:Maltrail 集成了多个开源情报源,如 VirusTotal、MalwareBazaar 等,以获取最新的恶意软件样本和攻击模式信息。
-
可视化报告:Maltrail 提供了丰富的可视化报告,帮助安全团队快速理解网络中的安全态势。
02
—
系统架构
Maltrail采用流量 -> 传感器 -> 服务器 -> 客户端的架构模式。传感器作为独立组件,负责监控网络流量中的恶意元素,如域名、URL和IP地址。匹配到恶意元素时,传感器将事件信息上报至中央服务器,由服务器进行存储和处理。
该检测工具是在流量进入后,经过了传感器的判断,然后会将异常传送到服务端,这些内容将会记录在本地。
03
—
maltrail如何安装
**要求:**为了正确运行 Maltrail, 需要安装Python 2.6、2.7或3.x,以及pcapy-ng包。
如果你使用的是Ubuntu/Debian,直接执行如下命令即可一键部署:
sudo apt-get install git python3 python3-dev python3-pip python-is-python3 libpcap-dev build-essential procps schedtool
sudo pip3 install pcapy-ng
git clone --depth 1 https://github.com/stamparm/maltrail.git
cd maltrail
sudo python3 sensor.py
如果你使用的是SUSE/openSUSE,直接执行如下命令即可一键部署:
sudo zypper install gcc gcc-c++ git libpcap-devel python3-devel python3-pip procps schedtool
sudo pip3 install pcapy-ng
git clone --depth 1 https://github.com/stamparm/maltrail.git
cd maltrail
sudo python3 sensor.py
**有关Docker环境的部署方法:**
#!/bin/bash
export MALTRAIL_LOCAL=$(realpath ~/.local/share/maltrail)
mkdir -p $MALTRAIL_LOCAL
cd $MALTRAIL_LOCAL
wget https://raw.githubusercontent.com/stamparm/maltrail/master/docker/Dockerfile
wget https://raw.githubusercontent.com/stamparm/maltrail/master/maltrail.conf
sudo su
apt -qq -y install coreutils net-tools docker.io
for dev in $(ifconfig | grep mtu | grep -Eo '^\w+'); do ifconfig $dev promisc; done
mkdir -p /var/log/maltrail/
docker build -t maltrail . && \
docker run -d --name maltrail-docker --privileged -p 8337:8337/udp -p 8338:8338 -v /var/log/maltrail/:/var/log/maltrail/ -v $(pwd)/maltrail.conf:/opt/maltrail/maltrail.conf:ro maltrail
完成之后,可以通过 Web 浏览器访问http://127.0.0.1:8338,访问报告界面 (默认凭据:admin:changeme!)
### 如何使用 Maltrail:
1. 安装:首先,你需要在你的服务器上安装 Maltrail。这通常涉及下载源代码、安装依赖项和配置环境。
2. 配置:配置 Maltrail 以适应你的网络环境。这包括设置流量捕获接口、配置日志存储位置以及自定义 IOC 列表等。
3. 部署流量探针:根据你的网络架构,部署适当的流量捕获工具(如 tcpdump、Wireshark 的 pcap 捕获功能等),并将捕获的流量数据传递给 Maltrail 进行分析。
4. 监控与分析:启动 Maltrail 后,它将开始实时分析网络流量。你可以通过查看 Maltrail 的控制台输出或生成的报告来了解网络中的安全状况。
5. 响应:一旦发现潜在的恶意活动,你可以根据 Maltrail 提供的信息采取相应的安全措施,如隔离受感染的设备、更新安全策略等。
04
—
**真实案例**
#### **大规模扫描**
#### 大规模扫描是一种相当常见的现象,Maltrail 能够识别并记录这些行为。
以下是“攻击者”地址的反向 DNS 和 WHOIS 查询:
在该dst\_port列中,您将能够看到所有已被此类大规模扫描扫描的端口:
#### **匿名攻击者**
为了发现隐藏在Tor匿名网络背后的潜在攻击者,Maltrail 使用了公开的 Tor 出口节点列表。
在下面的屏幕截图中,您将看到一个案例,潜在攻击者一直利用 Tor 网络以可疑的方式访问我们组织范围内的 Web 目标(通过 HTTP)(10 分钟内共发出 171 个连接请求):
#### **服务攻击者**
与上一个情况非常类似的情况是,当先前被列入黑名单的攻击者试图以相当可疑的方式访问我们组织范围内的特定(例如非 HTTP(s))服务时(即,在不到 15 分钟的时间内总共进行了 1513 次连接尝试):
#### **恶意软件:**如果我们组织内部的受感染计算机尝试连接已知的 C&C 服务器,您将能够发现类似以下的威胁。
**可疑域名查询:**Maltrail 使用已知常参与可疑活动的TLD域的静态列表。大多数此类TLD域来自免费域名注册商(例如Freenom),因此应受到更严格的审查。在下面的屏幕截图中,我们可以找到一个案例,其中一个此类 TLD 域.cm已被未知恶意软件使用DGA算法来联系其C&C服务器
**可疑的 ipinfo 请求:**许多恶意软件使用某种ipinfo服务(例如ipinfo.io)来查找受害者的互联网 IP 地址。在正常情况下,尤其是在非办公时间,应密切监控此类请求
**可疑的直接文件下载:**Maltrail 会跟踪所有可疑的直接文件下载尝试(例如.apk和.bin文件扩展名)。这可能会引发大量误报,但最终可能有助于重建感染链
**可疑的 HTTP 请求:**如果外部 Web 应用程序安全扫描程序发出可疑请求(例如搜索 SQLi、XSS、LFI 等漏洞)和/或内部用户恶意尝试访问未知网站
**端口扫描:**如果对大量不同的 TCP 端口进行过多的连接尝试,Maltrail 会通过其启发式检测机制警告潜在的端口扫描。
**DNS 资源耗尽:**针对 Web 服务器基础架构的一种常见 DDoS 攻击是通过对(伪)随机子域名进行有效的 DNS 递归查询来耗尽其(主)DNS 服务器的资源
**数据泄露:**各种程序(尤其是基于移动设备的程序)表现出类似恶意软件的行为,它们会将潜在的敏感数据发送到远程信标站。
05
—
结论
Maltrail 是一个很棒的工具,可以真正增强您的网络监控并始终确保您的基础设施安全。尽管不能保证 100% 的安全,但缓解措施始终是明智之举,但是与所有其他安全解决方案一样,Maltrail 也容易出现“误报”。
开源项目地址:https://github.com/stamparm/maltrail?tab=readme-ov-file
****您的每一个**关注、点赞、再看、分享**,都是我坚持更新的动力,感谢!❤****
