2023年10佳免费开源的威胁猎杀工具 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

2023年10佳免费开源的威胁猎杀工具

小二郎 趋势 2023-02-26 12:00:00
179952
收藏

导语:威胁猎杀战,你准备好了吗?

你在寻找威胁猎杀(threat-hunting)工具吗?如果是的话,那你来对地方了。

与包括防火墙等设备的网络安全系统相比,威胁猎杀是一种不同的处理网络攻击的方法。

传统防御方法通常在威胁发生后才进行调查,而威胁猎杀策略包括: 

通过网络进行搜索;

检测并隔离威胁;

在传统的预警系统发出警报之前根除它们。

安全分析人员可以通过搜索系统的数据信息来手动完成这一任务,以确定潜在的网络弱点,并主动创建“假设”场景来主动对抗这些弱点。然而,威胁猎杀更多地依赖于自动检测,并利用用户和实体行为分析来提醒安全分析师任何潜在的风险。

威胁猎人旨在寻找以下3种类型的“假设”:

分析驱动:分析用户和实体行为(UEBA)和机器学习,以开发风险评分和理论;

情报驱动:由威胁情报报告提供支持,实现恶意软件分析和漏洞扫描;

情境感知驱动:基于企业风险评估来预测公司或个人的趋势。

也就是说,一些供应商提供的威胁猎杀软件和服务是值得信赖的。如果你不打算在该领域占用资金,网上其实有很多免费的威胁猎杀工具,可供IT安全分析师或那些在自身网络上寻找安全威胁的人使用,以帮助实现更好的安全防护。

威胁猎杀工具必备功能

威胁猎人使用各种工具,包括人工智能、机器学习、高级分析、分析统计、信息分析和安全监控。

威胁猎杀的基本原则是,没有任何系统是完全安全的,不过,威胁猎人可以预测并积极预防攻击。网络攻击的威胁正在增长,各种破坏性恶意软件开始针对越来越多的企业,为其带来致命的威胁。

因此,在寻找威胁猎杀工具时,请务必注意以下功能:

一种数据收集服务,为威胁猎人提供事件信息;

聚合数据以统一事件记录的格式;

购买前测试的选项;

安全策略控制威胁检测;

手动分析选项;

自动响应设置;

以下是一些免费开源威胁猎杀工具列表,您可以使用它们来保护您的组织安全!

顶级免费开源威胁猎杀工具

1. AI Engine

作为Python、Ruby、Java、Lua包检测引擎,AIEngine是一款可以更新网络入侵检测系统(NIDS)的交互式工具。

AIEngine包括下一代交互式/可编程NIDS(网络入侵检测系统)功能,DNS域分类,网络收集器,网络取证和许多其他功能。

使用AIEngine,您可以检测垃圾邮件和收集网络,而不需要人工交互进行学习和网络取证。这个工具是情境感知驱动工具的一个例子。

IT工作者可以更好地理解流量,并使用此工具为防火墙和安全程序创建签名。此外,威胁猎人会发现它很有价值,因为它支持各种系统(通过Linux,FreeBSD和MacOS等操作系统支持x86_64,ARM和MIPS架构)和附加组件,可以与数据库(MySQL、Redis、Cassandra、Hadoop等)以及其他数据包引擎(Netfilter)轻松集成,实现数据关联。

2. APT-Hunter

由Ahmed Khlief设计的APT- hunter,是一款针对Windows事件日志的威胁猎杀工具,可以检测可疑活动并跟踪APT的移动。它对威胁猎人、事件响应人员和取证调查人员很有帮助。该工具的默认规则将Mitre ATT&CK战术和技术映射到Windows事件日志,并检测攻击指标,其中包括APT技术。

免费且开源的APT- hunter可以根据先前发现的APT攻击识别系统内的APT移动。其更快的攻击检测速度将缩短反应时间,能够迅速遏制和根除攻击。使用它作为过滤器,可以将数百万个事件过滤为少数几个严重的事件。

幸运的是,APT-Hunter有两个组件一起工作,助用户快速获得他想要的数据。这个工具将用于加速windows日志分析,但永远不会取代深度日志分析。

3. Attacker KB

当新漏洞在Twitter上引发热议或被新闻报道时,安全团队可能难以识别其中的风险和重要性。这种漏洞有多普遍?应该开发漏洞利用吗?对手或威胁者会利用这个缺口吗?或者它既没有价值,也不令人兴奋?

作为一种威胁猎杀解决方案,Attacker KB可以用来检测系统中的各种类型安全漏洞,并为对手及其威胁猎人提供了了解漏洞所需的一切。这包括信息公开、技术评估、结果、可利用性、可用性等等。

这些信息允许威胁猎人识别并根据漏洞的影响来确定漏洞修补优先级,以收到最大成效。最后,根据它生成的数据构建主动安全防御系统。

4. Automater

来自TekDefense的威胁猎杀工具Automater,可以用分析URL和哈希以简化入侵分析。使用Automater,您可以选择一个目标,并从众所周知的来源收集相关信息。

这个应用程序的界面非常友好,即使对初学者也是如此,使用它不需要修改Python代码。此外,您还可以选择检查哪些源以及从中检索哪些信息。

除此之外,您还可以使用Automater对IP地址、MD5散列和域进行搜索。由Automater工具操作的一些值得信赖的网站包括Unshorten. Me、Urlvoid.com、IPvoid.com、Robtex.com、Fortiguard.com、Labs.alienvault.com、ThreatExpert、VxVault以及VirusTotal。Automater是一款基于python开发的工具,可在GitHub平台上使用。它是免费的、开源的,可以通过GitHub访问。

5. BotScout

BotScout是一款威胁猎杀工具,可以防止自动网络脚本(也称为“机器人”)在网站上填写表单、发送垃圾邮件和在论坛上注册。

BotScout通过跟踪机器人的名称、IP地址和电子邮件地址,并将其存储为唯一的签名以供将来使用。您可以使用BotScout提供的签名数据,通过一个易于使用的API来评估提交到您网站上的表单。

除了在论坛上手动搜索BotScout数据库中的机器人,用户还可以使用联系表格或其他网络应用程序测试机器人,并立即拒绝或禁止它们。如果用户每天需要超过1000次自动查找,则可以获得免费的API密钥。反机器人插件也可用于知名论坛。

BotScout可用于识别和删除世界各地的个人、企业和大学的机器人,包括甲骨文公司、德意志银行、那不勒斯银行、华盛顿大学、米兰大学等。

6. CrowdFMS

在自动化程序CrowdFMS中,样本是从一个发布钓鱼邮件信息的网站上收集和处理的。如果钓鱼邮件到达网络,就会触发警报。

通过使用私有API体系结构,CrowdFMS提供了一个框架,用于自动收集和处理VirusTotal的样本。当框架下载最近的示例时,用户的YARA通知提要会收到警报。YARA ID还可以指定运行这些示例的特定命令。

7. Cuckoo Sandbox

Cuckoo Sandbox是一个分析恶意软件的开源工具。它可以免费下载,但由于它需要大量的依赖关系,安装起来极具挑战性。然而,一旦建立,它绝对是非常有利的。

Cuckoo Sandbox可以分析各种恶意文件,包括可执行文件、办公文档、pdf、电子邮件、脚本和网站。由于其开源特性和强大的模块化设计,用户可以自定义分析环境、数据处理和报告阶段。

Cuckoo Sandbox可用于Windows、Linux、macOS、Android等虚拟化环境下,检测恶意文件和网站。Volatility和YARA还允许对受感染的虚拟系统逐进程进行复杂的内存分析。

Cuckoo Sandbox由两个部分组成。首先是一个Linux Ubuntu主机,上面嵌套了Windows 7系统。基于Python的Cuckoo主包被安装在Ubuntu主机上,以及几个依赖项,这些依赖项被配置为利用Cuckoo的模块化。在Ubuntu主机上安装VirtualBox,并创建Windows 7客户。另外,在Windows 7操作系统的机器上安装了Cuckoo代理,实现了两台设备之间的通信。

8. DeepBlue CLI

DeepBlueCLI是一款开源工具,可以在运行ELK (Elasticsearch、Logstash和Kibana)或Windows (PowerShell版本)(Python版本)的Linux/Unix系统上自动分析Windows事件日志。Eric Conrad创建了它,并在GitHub上可用。

DeepBlueCLI能够快速检测Windows安全、系统、应用程序、PowerShell和Sysmon日志中发现的特定事件。此外,DeepBlueCLI在处理保存或存档的EVTX文件时速度很快。查询活动事件日志服务所需时间稍长,但效率同样高。

9. CyberChef

CyberChef是由GCHQ开发的网络应用程序,也被称为“网络瑞士军刀”。它是在Apache 2.0许可下授权的,并受到Crown 版权的保护。

你可以在网络浏览器中使用CyberChef进行许多“网络”操作,这是一个简单易用的网络应用程序。除了创建二进制和十六进制转储、压缩和解压缩数据、计算哈希和校验、解析IPv6和X.509以及更改字符编码外,这些操作还包括XOR和Base64编码。

不需要处理复杂的工具或方法,技术和非技术分析师可以在程序的帮助下以复杂的方式修改数据。一位分析师利用他们10%的创新时间,在几年的时间里创建、设计、实现并逐步完善它。

您可以使用CyberChef对数据进行编码、解码、格式化、解析、压缩、提取和数学操作。

10. YARA

YARA是一个针对恶意软件的威胁搜索工具,可以对各个恶意软件家族进行分类。用户只需编写一组字符串以执行指定的函数,就可以使用它。

YARA可以与多种操作系统兼容。它还提供了一个Python扩展,以便用户创建自定义Python脚本。

结语

上述所有工具都有各自的应用程序,其中许多工具可以串联使用,无需花费任何资金就可以创建针对网络攻击的全面防御。使用上面列出的一些应用程序后,您可以决定是否要升级到付费商业版本。

威胁猎杀是IT安全人员和攻击者之间的一场深思熟虑的战斗,拥有许多可用的工具将为您提供最佳的获胜机会。请务必确保您和您的公司都准备好了切实可行的解决方案。

本文翻译自:https://heimdalsecurity.com/blog/10-free-open-source-threat-hunting-tools/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务