千家信息网

Attack Monitor是一款什么软件

发表于:2024-11-30 作者:千家信息网编辑
千家信息网最后更新 2024年11月30日,这篇文章主要介绍Attack Monitor是一款什么软件,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!工具介绍Attack Monitor是一款Python应用程序,可以帮助
千家信息网最后更新 2024年11月30日Attack Monitor是一款什么软件

这篇文章主要介绍Attack Monitor是一款什么软件,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!

工具介绍

Attack Monitor是一款Python应用程序,可以帮助安全研究人员增强Windows 7/2008(及所有更高版本)工作站或服务器的安全监控功能,并且能够自动对恶意软件进行动态分析。

当前模式

1、终端检测(ED)

2、恶意软件分析(须在特定虚拟机环境中执行)

支持事件

1、Windows事件日志

2、Sysmon

3、Watchdog(文件系统监控Python库)

4、TShark(仅支持恶意软件分析模式)

当前版本

Attack Monitor:v0.9.0(Alpha版本)

工具演示

支持的操作系统

1、Windows 7, 8, 10 (x86位或x64位)

2、Windows 2008, 2012, 2016 (x86位或x64位)

工具依赖组件

1、Powershell 5

2、Sysmon (通过installer.py下载、配置和安装)

3、Python 3.6 (64-bit) - 理论支持Python 3.x

4、Tshark (仅恶意软件分析)

5、各种Python3库 (requirements.txt)

6、StoneEngine 库(首次发布,高级Windows事件日志接口)

支持的系统事件

注意:其中部分事件仅支持恶意软件分析模式。

文件系统修改

允许的网络连接

PowerShell活动

进程创建

SMB活动

计划任务

本地帐号修改

驱动器加载

元磁盘访问

注册表监控

管道事件

服务监控

日志审计

WMI监控

DNS请求捕捉(通过Tshark)

工具安装-终端检测模式

首先,从本项目的GitHub库将项目源码克隆至本地:

git clone https://github.com/yarox24/attack_monitor.git

切换到本地项目目录,运行下列命令:

cmd.exe (Run as admin)pip3 install -U -r requirements.txtpython installer.py sysmon  => Choose endpoint detection modepython installer.py psauditpython installer.py auditpolpython installer.py install  => Choose endpoint detection modepython installer.py exceptions[Apply section] Installation - How to enable WMI audit?

工具安装-恶意软件分析模式

cmd.exe (Run as admin)pip3 install -U -r requirements.txtpython installer.py sysmon  => Choose malware analysis modepython installer.py psauditpython installer.py auditpolpython installer.py install  => Choose malware analysis mode[Install tshark] https://www.wireshark.org/download.html // To default location[Apply section] Installation - How to choose network interface for malware listening? // (currently only DNS)[Apply section] Installation - How to enable WMI audit?[Apply section] Installation - How to monitor specific directories?

如何启用WMI审计功能

compmgmt.mscServices and Applications -> WMI Control -> PropertiesSecurity -> Security -> Advanced -> Auditing -> AddSelect principal: EveryoneType: AllShow advanced permissions:  Select all (Execute Methods ... Edit Security)

如何选择监听恶意软件的接口?

编辑"C:\Program Files\Attack Monitor\config\attack_monitor.cfg"文件,修改文件中的" C:\Program Files\Attack Monitor\config\attack_monitor.cfg"参数。

如何判断接口名称?

TShark使用的名称来自于控制面板\网络和Internet\网络连接,默认名为Ethernet0。

如何指定监控目录?

编辑文件" C:\Program Files\Attack Monitor\config\monitored_directories.json",针对恶意软件分析,我们建议研究人员监控目录"C:\"下的所有事件,并添加额外的相关目录。

工作机制

1、通过监听事件源来发送警告(Windows事件日志、Sysmon、文件系统修改和TShark)

2、根据"config\exceptions\exception.json"的配置进行警报检测,该文件中包含所有警报信息。针对终端检测,需要用户自定义要忽略的警报。针对恶意软件分析,你需要针对目标系统添加例外情况。

3、如果exception.json文件中存在警告,则返回第一步,否则进行下一步。

4、学习模式是否启用?如果启用,工具则会弹出警告询问是否需要忽略这条警报,需依据正则表达式。

5、警告用户捕捉事件,并输出结果:

系统托盘气泡提醒。

警报信息将被保存在logs\.txt文件中。

以上是"Attack Monitor是一款什么软件"这篇文章的所有内容,感谢各位的阅读!希望分享的内容对大家有帮助,更多相关知识,欢迎关注行业资讯频道!

0