Иногда в сетевом трафике могут попадаться характерные для работы вредоносного программного обеспечения артефакты, поэтому совсем не лишним будет исследовать “живой” трафик или записанные фрагменты специальным сенсором. Из бесплатных вполне неплохо себя зарекомендовали Snort и Maltrail, о последнем я и расскажу.
Под работу сенсора я выделил небольшую виртуалку с двумя интерфейсами – один – для управления, в Management VLAN, вторую – для трафика, подал туда зеркало (span-порт коммутатора).
Установка Maltrail
Maltrail представляет собой несколько python-скриптов, так что оптимальнее будет слить их с github:
# git clone https://github.com/stamparm/maltrail
Затем переходим в рабочий каталог:
# cd ./maltrail
и немного правим конфиг:
# nano maltrail.conf
Указываю интерфейс для прослушки:
...
MONITOR_INTERFACE ens224
...
Запуск Maltrail
Сам продукт состоит как бы из двух частей:
- Анализатор трафика:
# python3 sensor.py
- Веб-сервер для просмотра статистики:
# python3 server.py
При запуске сенсор начинает загрузку своих сигнатур из различных источников и, в последствии, начинает слушать трафик на интерфейсе.
Кстати, если на не нужно “живое” прослушивание, то можно просто скормить сенсору .PCAP-файл используя ключ -r и указав путь к записанному трафику (например тем же tcpdump и т.д.). Эффект будет тот же.
Как выглядит:
При первом запуске предложит авторизоваться. Пароль (хеш) хранится в конфиге. По умолчанию входим как admin:changeme!
Все события классифицируются по потокам, важности, источникам и т.д. Рассмотрим, например, наиболее важные:
Как видим, судя по трафику, функционирует некий бот, который запрашивает характерные DNS-имена. К сожалению, на текущем этапе выявить источник у меня не получится – записал трафик после NAT, но по крайней мере можно уже поставить конкретную ловушку на DNS с записью внутреннего “серого” IP-адреса и найти инфицированный комп.
Кстати, маркеры событий тут бывают разных типов:
- Эвристика (предположения) – активность, которая с большой долей вероятности является вредоносной.
- Известные DNS-имена, IP-адреса, UA (UserAgent-ы) – это уже некое подобие антивирусных сигнатур.
- Признаки масс-сканирования, подозрительный домен, выходная нода TOR-сети (тоже подозрительно), подозрительные скрипты и т.д.
Системные требования не очень высокие, поэтому организовать мониторинг трафика такими малыми затратами, я считаю, целесообразно.
И кстати, логи падают в текстовом виде в /var/log/maltrail/дата, так что без проблем можно будет сделать парсер или направить их в систему корреляции событий.
Comments: