安全分析與研究web
專一於全球惡意軟件的分析與研究瀏覽器
前言安全
立刻就要開始「HW」演練了,今天給你們推薦一款朋友開發的很是實用的HW小神器TeaPot,主要用於簡單的網絡攻擊捕獲,TeaPot是一款簡單又高端的安全輔助工具,它能夠有效應用於內網攻擊監測、黑客身份溯源、主機病毒防範、上網行爲管理,可有效提高攻防演練對抗、勒索病毒預警和尖端APT對抗能力。微信
TeaPot捕獲網絡攻擊的原理是將本身作成蜜罐,在本機開通端口監聽,因爲軟件自己不提供其餘網絡服務,因此一旦有監聽捕獲則應該判斷是否爲正常鏈接。當認爲鏈接不正常時候,應對檢查對方IP是什麼設備,查明本次鏈接是否正常。網絡
操做方法框架
軟件運行以後,以下所示:svg
點擊左上角「文件」菜單,進入軟件設置界面,按正確格式設置監聽端口,便可實現每次啓動後自動監聽指定端口,以下所示:工具
配置信息以分號(英文)間隔,如須要指定一個端口段能夠經過橫線劃定。如端口監聽配置:21;22;25;3389-8888。工具自帶常見易受攻擊端口:81;21;22;23;3389;1433;139;測試
445;5900;443;7001;3306;8888;一旦發現上述端口持續受到訪問,應及時覈查源IP性質,根據端口判斷可能的攻擊行爲。因爲瀏覽器或個別軟件會正常訪問本地80或44端口,因此軟件默認未將上述兩個端口歸入監聽,若有須要請自行配置。flex
注意事項:
本軟件用於內網安全監測,請不要將本軟件監聽端口在互聯網直接開放或對外映射,避免軟件出現大量報警或形成其餘後果。
正常單位內網的漏掃設備、資產探測設備都會觸發軟件端口鏈接報警,請根據對方IP覈查可能的鏈接性質。
進階教程
TeaPot可有效應用於多種安全上網場景
巧妙的深度攻擊誘捕
TeaPot經過將端口監聽捕獲的鏈接轉發到專業蜜罐,實現了與專業蜜罐的結合,能夠有效將黑客攻擊吸引到專業蜜罐,達到深度分析其行爲,溯源反制的功能。
專業的主機病毒捕獲
TeaPot 採用目前業內較爲少見的主機 DNS 服務代理功能,監測主機對外域名請求,協助用戶判斷本機是否存在遠 控木馬、殭屍病毒等惡意程序。目前軟件自帶 200 條惡意病 毒域名監測,後續將不斷增長。
便利的病毒行爲分析
TeaPot 端口監聽和代理轉發機制可供專業安全人員迅 速查明本機惡意程序進程。經過將指定的域名加入黑名單,TeaPot 將強制該域名指向本機,端口監聽模塊將捕獲到惡意進程的網絡鏈接狀況,從而方便定位具體惡意文件。
全面的上網行爲管理
TeaPot 經過 DNS 監測和屏蔽,能夠很方便管理主機上網行爲。因爲軟件對移動熱點有效,因此也可用於對移動終端進行上網行爲管理。好比有的家長擔憂孩子做業時間用手機玩遊戲,那麼能夠經過 TeaPot 限制特定時間手機遊戲啓動。
完全的網絡環境淨化
TeaPot 經過 DNS 監測和屏蔽,能夠很方便管理主機有害或違法上網狀況。後續咱們計劃在軟件中集成針對全球 30 萬違法博彩、色情網站的域名封堵,根據須要提供部分廣告、違法廣告的傳播渠道。
工具獲取
鑑於全部開發、測試人員都基於對安全事業的熱愛,無償提供本身的資源、能力和時間,在此咱們對他們表示真誠的感謝!但願你們儘可能容忍軟件中存在的各類不便或問題,同時後續咱們會不斷的改進,歡迎各位安全同仁都能參與軟件研發、資源共享,也歡迎各位安全同仁能提供意見建議,添加請註明「TeaPot 交流」。交流羣組(7 日有效):
總結
「HW」演練立刻就要開始了,終端安全一直是安全的主戰場,無論經過什麼方式進來系統以後,最後都是要突破終端安全的防護才能算是真正控制系統,終端安全也是一直是「兵家」必爭之地,各個安全廠商與高端黑客組織的真正的較量其實都是在終端安全上。
如今國內終端安全人才緊缺,彷佛出現了嚴重的斷層現象,招不到合適的終端安全人才,大多數廠商都在作終端安全類的產品,其實不少廠商的終端安全能力是很是弱的,相關研發管理人員其實也不懂安全,一些廠商的終端安全團隊,不論是安全分析能力、仍是安全管理能力、以及安全研發能力,都不行,如今各類惡意軟件橫行,勒索、挖礦、竊密後門事件頻頻發生,APT攻擊事件也是層出不窮,終端安全須要培養更多優秀的人才加進來彌補終端安全能力的嚴重不足,網絡安全威脅將來會愈來愈多。
往期精彩回顧:
安全分析與研究
專一於全球惡意軟件的分析與研究,跟蹤全球最新的黑客組織攻擊活動,提供最有價值的威脅情報,歡迎關注
王正
筆名:熊貓正正
惡意軟件研究員
長期專一於全球各類流行惡意軟件的分析與研究,深度追蹤全球黑客組織的攻擊活動,擅長各類惡意軟件逆向分析技術,具備豐富的樣本分析實戰經驗,對勒索病毒、挖礦病毒、竊密遠控木馬、銀行木馬、僵屍網絡、APT攻擊類樣本都有深刻的分析與研究
心路歷程:從一無所知的安全小白菜,到十幾年安全經驗的老白菜,安全的路還很長,一生只作一件事,堅持、專一,專業!
本文分享自微信公衆號 - 安全分析與研究(MalwareAnalysis)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。