Attack Monitor:一款功能强大的终端检测&恶意软件分析软件
工具介绍
Attack Monitor是一款Python应用程序,可以帮助安全研究人员增强Windows 7/2008(及所有更高版本)工作站或服务器的安全监控功能,并且能够自动对恶意软件进行动态分析。
当前模式
1、终端检测(ED)
2、恶意软件分析(须在特定虚拟机环境中执行)
支持事件
1、Windows事件日志
2、Sysmon
3、Watchdog(文件系统监控Python库)
4、TShark(仅支持恶意软件分析模式)
当前版本
工具演示Attack Monitor:v0.9.0(Alpha版本)
支持的操作系统
工具依赖组件1、Windows 7, 8, 10 (x86位或x64位)
2、Windows 2008, 2012, 2016 (x86位或x64位)
支持的系统事件1、Powershell 5
2、Sysmon (通过installer.py下载、配置和安装)
3、Python 3.6 (64-bit) - 理论支持Python 3.x
4、Tshark (仅恶意软件分析)
5、各种Python3库 (requirements.txt)
6、StoneEngine 库(首次发布,高级Windows事件日志接口)
注意:其中部分事件仅支持恶意软件分析模式。
文件系统修改
允许的网络连接
PowerShell活动
进程创建
SMB活动
计划任务
本地帐号修改
驱动器加载
元磁盘访问
注册表监控
管道事件
服务监控
日志审计
WMI监控
DNS请求捕捉(通过Tshark)
工具安装-终端检测模式
首先,从本项目的GitHub库将项目源码克隆至本地:
gitclonehttps://github.com/yarox24/attack_monitor.git
切换到本地项目目录,运行下列命令:
<Download newest release> cmd.exe (Runasadmin) pip3 install -U -r requirements.txt python installer.py sysmon => Choose endpoint detection mode python installer.py psaudit python installer.py auditpol python installer.py install => Choose endpoint detection mode python installer.py exceptions [Apply section] Installation - How to enable WMI audit?
cmd.exe (Run as admin) pip3install-U -r requirements.txt python installer.py sysmon =>Choosemalware analysismodepython installer.py psaudit python installer.py auditpol python installer.pyinstall=>Choosemalware analysismode[Installtshark] https://www.wireshark.org/download.html //Todefaultlocation [Applysection] Installation - Howtochoosenetworkinterfaceformalware listening? // (currentlyonlyDNS) [Applysection] Installation - HowtoenableWMIaudit? [Applysection] Installation - Howtomonitor specific directories?
compmgmt.msc Services and Applications -> WMI Control -> Properties Security -> Security -> Advanced -> Auditing -> Add Select principal: Everyone Type:AllShow advanced permissions: Selectall(Execute Methods ... Edit Security)
编辑“C:\ProgramFiles\AttackMonitor\config\attack_monitor.cfg”文件,修改文件中的“ C:\Program Files\Attack Monitor\config\attack_monitor.cfg”参数。
如何判断接口名称?TShark使用的名称来自于控制面板\网络和Internet\网络连接,默认名为Ethernet0。
如何指定监控目录?编辑文件“ C:\Program Files\Attack Monitor\config\monitored_directories.json”,针对恶意软件分析,我们建议研究人员监控目录“C:\”下的所有事件,并添加额外的相关目录。
工作机制项目地址1、通过监听事件源来发送警告(Windows事件日志、Sysmon、文件系统修改和TShark)
2、根据“config\exceptions\exception.json”的配置进行警报检测,该文件中包含所有警报信息。针对终端检测,需要用户自定义要忽略的警报。针对恶意软件分析,你需要针对目标系统添加例外情况。
3、如果exception.json文件中存在警告,则返回第一步,否则进行下一步。
4、学习模式是否启用?如果启用,工具则会弹出警告询问是否需要忽略这条警报,需依据正则表达式。
5、警告用户捕捉事件,并输出结果:
系统托盘气泡提醒。
警报信息将被保存在logs.txt文件中。
Attack Monitor:
推荐阅读
- 《时光音乐会》、《我们的歌3》,宝藏音综你更爱哪一款?
- 乘风破浪的姐姐|又一款对标浪姐的综艺,陈小春林志炫热狗等能否带动新综艺?
- 说唱歌手|消暑特辑!夏日热播综艺大盘点,总有一款是你的菜
- 蚌埠日报|澳卫生部长称该国一款候选新冠疫苗1期临床表现良好
- 韦小宝|《鹿鼎记》大盘点:没有一款韦小宝让所有人都满意?
- 是文先生呀|你最喜欢哪一款闺蜜装,测你们因什么而成为朋友?
- 是文先生呀|和男神逛街,你想戴哪一款围巾?测你和班草是什么关系?
- |又一款国产原研免疫药上市,肺癌免疫治疗或很快进入白菜价时代
- 汽水|记忆中的神仙汽水 看看你钟爱哪一款?
- 澎湃新闻|阿里第一款物流机器人上岗 承运浙江大学“双11”包裹