In diesem Thema geht es um ein weiteres Open-Source-Sicherheitsprojekt "Maltrail" . Es handelt sich um ein Erkennungssystem für bösartigen Datenverkehr, das öffentlich verfügbare Spamlisten/schwarze Listen bösartiger und verdächtiger Pfade verwendet. Es verwendet auch die statischen Pfade aus den verschiedenen AntiVirus-Berichten und benutzerdefinierten benutzerdefinierten Listen. Die bösartigen Domänen verschiedener Malware, die URL bekannter bösartiger ausführbarer Dateien und die IP-Adresse bekannter Angreifer sind Spuren für dieses System. Es verfügt über erweiterte heuristische Mechanismen zur Erkennung unbekannter Bedrohungen (z. B. neuer Malware). Die Github-Adresse des Projekts lautet: https://github.com/stamparm/maltrail/
Die Github-Seite zeigt die Ressourcen von Blacklists (d. h. Feeds), statischen Einträgen und Pfaden verschiedener Malware-C&Cs oder Sinkholes, die in diesem Erkennungssystem verwendet werden.
Bereitstellungsarchitektur
Gemäss den Angaben auf der Projektseite, dem Maltrail basiert auf dem Traffic -> Sensor <-> Server <-> Kunde Architektur.
Sensoren sind eigenständige Komponenten/Maschinen, die auf einer Linux-Plattform ausgeführt werden, die passiv mit dem SPAN-/Mirroring-Port oder transparent inline auf einer Linux-Bridge verbunden sind, wo sie den vorbeifahrenden Datenverkehr auf Elemente/Trails auf der schwarzen Liste „überwachen“ (d. h. Domainnamen, URLs und/ oder IP). Das Ereignisdetail wird im Falle einer positiven Übereinstimmung an den (zentralen) Server gesendet und im entsprechenden Protokollverzeichnis gespeichert. Wenn Sensor und Server beide auf demselben Computer ausgeführt werden (Standardkonfiguration), werden Protokolle direkt im lokalen Protokollverzeichnis gespeichert. Alle Ereignisse oder Protokolleinträge für den ausgewählten Zeitraum (24 Stunden) werden an den Client übertragen, die Reporting-Webanwendung ist für die Darstellung der Ereignisse zuständig. In diesem Artikel Server &Server Komponenten laufen auf der gleichen Maschine.
Voraussetzungen
In diesem Tutorial Maltrail wird auf einer Ubuntu 18.04 LTS-VM installiert. Um Maltrail richtig auszuführen , Python 2.7 ist für pcapy erforderlich Paket. Es gibt keine weiteren Anforderungen außer der Ausführung von „Sensor und Server“ Komponente mit Root-Rechten. Der folgende Befehl installiert das Paket python-pcapy auf dem Ubuntu-Rechner. Außerdem werden die erforderlichen Abhängigkeiten des Pakets installiert.
apt-get install git python-pcapy 
Es kann von der corsecuity-Website heruntergeladen und mit dem folgenden Befehl installiert werden. Wenn das Paket „python-setuptools“ installiert ist, installieren Sie es vor der Installation des pcapy-Pakets. Der folgende Befehl installiert das Setuptools-Paket auf der Ubuntu-Plattform.
apt-get install python-setuptools
python setup.py install
Laufendes Maltrail-System
Der folgende Befehl lädt das neueste Paket auf den Ubuntu-Rechner herunter und führt danach Python-Skripts von Server &Sensor im Terminal
ausgit clone https://github.com/stamparm/maltrail.git
cd maltrail/
Maltrail-Sensor starten
Der folgende Befehl startet den Sensor im Terminal.
python sensor.py
Wenn die Maltrail-Liste nicht aktualisiert wird, wird sie aktualisiert, während der Sensor auf der Maschine ausgeführt wird.
Der obige Screenshot zeigt, dass der Sensor erfolgreich auf der Maschine ausgeführt wird.
Maltrail-Server starten
Öffnen Sie zum Starten des „Servers“ auf demselben Computer ein neues Terminal und führen Sie Folgendes aus:
cd maltrail
python server.py
Wie im obigen Schnappschuss gezeigt, läuft der HTTP-Server auf Port 8338. Der Port 8338 sollte auf der Firewall zugelassen werden, wenn auf das Webinterface hinter der Firewall zugegriffen wird.
Maltrail-Dashboard
Greifen Sie auf die Berichtsoberfläche zu, indem Sie http://local-p-ip:8338 besuchen (Standardanmeldeinformationen sind admin:changeme! saved in the maltrail.conf file). ) von Ihrem Webbrowser. Wie unten gezeigt, wird dem Nutzer das folgende Authentifizierungsfenster angezeigt. Anmeldedaten eingeben admin:changeme! um in das Webportal von Matrail zu gelangen.
Sobald Sie sich im Dashboard befinden, wird dem Admin-Benutzer die folgende Berichtsoberfläche angezeigt.
Maltrail testen
Der folgende Testschritt wird auf der Projektseite angegeben. Die IP-Adresse "136.161.101.53 " ist eine bösartige Adresse, daher erkennt Maltrail sie und zeigt sie im Dashboard an.
ping -c 5 136.161.101.53 
cat /var/log/maltrail/02-10-2018.log
Wie unten gezeigt, werden beide Angriffe (Ping an eine bösartige IP-Adresse) auch im Frontend angezeigt.
------------------------------------- --------------------------------------------------
Der obere Teil des Frontends enthält eine verschiebbare Zeitleiste und wird aktiviert, nachdem Sie auf das aktuelle Datumslabel und/oder das Kalendersymbol geklickt haben. Der mittlere Teil enthält eine Zusammenfassung der angezeigten Ereignisse. Das Feld "Ereignisse" stellt die Gesamtzahl der Ereignisse in einem ausgewählten 24-Stunden-Zeitraum dar, wobei unterschiedliche Farben unterschiedliche Arten von Ereignissen wie IP-basierte Ereignisse, DNS-basierte Ereignisse und URL-basierte Ereignisse darstellen. Klicken Sie auf die Kästchen, um mehr Details zu jedem Diagramm zu erhalten.
Der untere Teil des Frontends enthält eine komprimierte Darstellung der protokollierten Ereignisse in Form einer paginierten Tabelle.
Die Konfiguration von Maltrail Sensor/Server
Die Sensorkonfiguration des Maltrail-Systems befindet sich in maltrail.conf Abschnitt der Datei [Sensor]. The configuration parameters are explained with comments. In this configuration file, user can define setting like update period of static feed, virtual or physical interface of the linux to run Maltrail system etc.
Sensorbereich
------------------------------------- -------------------------------------------------
Im Serverbereich kann ein Benutzer den Abhörport und die IP-Adresse definieren. Der Benutzer kann den SSL-Dienst aktivieren, um den Webverkehr zu schützen.
Serverbereich
Protokollspeicherung
Alle von Maltrail-Sensoren erkannten Ereignisse werden auf dem Server gespeichert 's Logging-Verzeichnis (Option LOG_DIR innerhalb der maltrail.conf Abschnitt der Datei, um den Pfad der Datei festzulegen). Alle erkannten Ereignisse werden nach Datum gespeichert.
Port-Sweep
Es erkennt auch zu viele Verbindungsversuche zu bestimmten TCP-Ports. Das Maltrail-System warnt vor einem möglichen Port-Scanning, da es heuristische Mechanismen erkennt.
Falsch-Positive
Maltrail ist wie alle anderen Sicherheitslösungen anfällig für „False Positives“. In solchen Fällen wird Maltrail (insbesondere im Fall von suspicious Bedrohungen) zeichnet das Verhalten eines normalen Benutzers auf und markiert es als bösartig und/oder verdächtig. Ebenso scannt die Google-Suchmaschine die Domains und die IP-Adresse. Daher wird manchmal die legitime IP-Adresse von Google aufgrund mehrerer Versuche auf den legitimen Domänen/IP-Adressen zum Angreifer.
Schlussfolgerung
In diesem Artikel geht es um das Maltrail-Erkennungssystem für bösartigen Datenverkehr, das den Datenverkehr mithilfe von statischen Feeds und einem heuristischen Mechanismus erkennt. Es ist in Python entwickelt und besteht aus zwei Hauptkomponenten "Sensor und Server". Es kann auf einem einzelnen Computer ausgeführt werden und den Datenverkehr auf jeder Schnittstelle des Computers erkennen. Es ist nützlich, das Netzwerk vor den bekannten Angreifern im Internet zu schützen. Derzeit unterstützt es nur die Erkennung von Datenverkehr. Es kann jedoch mit anderen Open-Source-Tools integriert werden, um das Blockieren von IP-Adressen in der iptables-Firewall durchzuführen.