|
|
|
Snort - packet sniffer/logger and network intrusion detection system |
(Версия: 2.9.6.0 от 2014-01-27) [+] [обсудить] |
| Система анализа и слежения (ведения логов) за проходящими пакетами, распознаются такие атаки как "buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts". Присутствует возможность real-time извещения администратора при обнаружении атаки.
Для анализа логов snort'а можно использовать snort2html из поставки или RazorBack.
Snort Wireless - адаптированная для обнаружения атак в беспроводных сетях версия snort. |
|
|
|
|
Подборка программ для анализа вредоносного кода и исполняемых файлов |
[+] [обсудить] |
|
- Анализ web-сайтов: Thug, mitmproxy, Network Miner Free Edition, Burp Proxy Free Edition, Automater, pdnstool, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py;
- Анализ вредоносных Flash-роликов: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare;
- Анализ Java: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR;
- Анализ JavaScript: Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier;
- Анализ PDF: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah, qpdf, pdfresurrect;
- Анализ документов Microsoft Office: officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode;
- Анализ Shellcode: sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe;
- Приведение запутанного кода в читаемый вид (deobfuscation): unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, FLOSS
- Извлечение строковых данных: strdeobj, pestr, strings;
- Восстановление файлов: Foremost, Scalpel, bulk_extractor, Hachoir;
- Определение сигнатур: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser;
- Сканирование: Yara, TrID, ExifTool, virustotal-submit, Disitool;
- Работа с хэшами: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search, VirusTotalApi;
- Анализ вредоносного ПО для Linux: Sysdig, Unhide
- Дизассемблеры: Vivisect, Udis86, objdump;
- Отладчики: Evan’s Debugger (EDB), GNU Project Debugger (GDB);
- Системы трассировки: strace, ltrace
- Investigate: Radare 2, Pyew, Bokken, m2elf, ELF Parser;
li class="l"> Работа с бинарными файлами: wxHexEditor, VBinDiff;
- Анализ дампов памяти: Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff, Rekall, linux_mem_diff_tool;
- Анализ исполняемых PE-файлов UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, Bokken, RATDecoders, Pyew, readpe.py, PyInstaller Extractor, DC3-MWCP;
- Анализ вредоносного ПО для мобильных устройств: Androwarn, AndroGuard.
|
|
|
|
|
Presidio - платформа для выявления утечек конфиденциальной информации (доп. ссылка 1) |
[+] [обсудить] |
| Развиваемая компанией Microsoft свободная NER-система (Named Entity Recognition), развиваемая для предотвращения утечек информации (Data Leak Prevention). Позволяет выявлять или удалять в документах, тексте и изображениях информацию, содержащую персональные и конфиденциальные данные, такие как ФИО, номера телефонов, email, номера кредитных карт, криптокошельки, адреса, номера паспортов, финансовые данные и т.п. Поддерживается обработка различных хранилищ (от Amazon S3 до PostgreSQL) и форматов. Код написан на языке Go (есть вариант на Python) и распространяется под лицензией MIT.
|
|
|
|
|
openWAF - open source distributed web application firewall |
[+] [обсудить] |
| Распределенная система для защиты web-приложений (dWAF), выполненная в виде модуля для http-сервера Apache и являющаяся открытым вариантом коммерческого продукта Hyperguard. Система имеет клиент-серверную модель, в которой Apache-модуль выступает в роли фильтрующего клиента, перенаправляющего все запросы на специальный серверы принятия решений (decider). Серверов принятия решений может быть несколько, при этом они имеют общую конфигурацию и управляются централизованно. Управление производится через web-интерфейс.
Код включает в себя фильтрующий модуль для http-сервера Apache 2, сервер принятия решений о блокировании, обработчик дополнений для системы принятия решений, набор административных клиент-серверных компонентов и управляющий web-интерфейс. Все компоненты, кроме Apache-модуля, написаны на языке Python. |
|
|
|
|
IronBee - universal web application security sensor |
[+] [обсудить] |
| Универсальная WAF-система (Web
Application Firewall) для отслеживания и предотвращения атак на web-приложения, разработанная ключевыми разработчиками системы ModSecurity. Как и ModSecurity, IronBee позволяет нейтрализовать широкий спектр атак на web-приложения, таких как межсайтовый скриптинг, подстановка SQL-запросов, CSRF, подстановка JavaScript-блоков на страницы и DoS/DDoS-атаки. Код проекта открыт под лицензией Apache.
В комплекте с IronBee поставляется библиотека LibHTP, предназначенная для парсинга транзитного HTTP-трафика и выявления в нем аномалий. Ключевым отличием от ModSecurity является возможность разделения модуля, осуществляющего анализ и фильтрацию трафика на стороне HTTP-сервера, и компонента, выявляющего угрожающие безопасности запросы на основе доступного набора правил. Иными словами, на сервере может быть оставлен только интерфейсный модуль, а вся логика анализа потоков информации организована в виде универсального cloud-сервиса, который может обслуживать сразу несколько web-серверов предприятия. Подобный подход позволяет перенести значительную нагрузку, возникающую при выполнении анализа трафика, на внешний хост, высвободив дополнительные ресурсы для web-приложений.
Серверный процесс инспектирования может быть внедрен несколькими способами, например, загружен как модуль для http-сервера, встроен в приложение, запущен в режиме пассивного анализа трафика (как сниффер) или внедрен в виде прокси-акселератора (reverse proxy). Проект имеет модульную архитектуру, позволяя легко создавать и подключать расширяющие функциональность дополнения, без детального изучения внутренней архитектуры IronBee. Планируется создание инфраструктуры для совместного накопления и обмена правилами по блокированию различных видов атак на различные web-приложения. Кроме того, будет создана централизованная БД с набором правил для конкретных web-приложений и известных уязвимостей.
|
|
|
|
|
Suricata - Next Generation Intrusion Detection and Prevention Engine |
(Версия: 2.0.1 от 2014-05-26) [+] [обсудить] |
| Открытая система обнаружения и предотвращения атак, базирующейся на принципиально новых механизмах работы. Suricata создается с целью создания новых идей и технологий, а не просто разработки очередного нового инструмента дублирующего возможности других продуктов отрасли. Код проекта распространяется под лицензией GPLv2.
Особенности Suricata:
- Работа в многопоточном режиме, позволяет наиболее полно задействовать возможности многоядерных и многопроцессорных систем;
- Поддержка автоматического определения протоколов: IP, TCP, UDP, ICMP, HTTP, TLS, FTP и SMB. Пользователь системы имеет возможность определения типа протокола в правилах, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту);
- Подготовлена специальная HTP библиотека для нормализации и разбора HTTP трафика. Библиотека может быть не только задействована в составе движка Suricata, но и использована в сторонних проектах. Код библиотеки написан автором проекта Mod_Security.
- Поддержка разбора сжатого методом Gzip содержания пакетов;
- Очень быстрый механизм сопоставления по маске с большими наборами IP адресов;
- Поддержка стандартных интерфейсов для перехвата трафика NFQueue, IPFRing, LibPcap, IPFW. Унифицированный формат вывода результатов проверки позволяет использовать стандартные утилиты для анализа;
- Возможность использования переменных в правилах: можно сохранить информацию из потока и позднее использовать ее в других правилах;
- Наличие модуля для ведения подробного лога транзитных HTTP пересылок, лог сохраняется в стандартном формате apache;
- В ближайших планах:
- Формирование общедоступной распределенной базы репутации IP адресов;
- Возможность аппаратной акселерации на стороне GPU, за счет задействования CUDA и OpenCL.
|
|
|
|
|
Blitzableiter - свободный анализатор уязвимостей во Flash контенте |
[+] [обсудить] |
| Инструмент для транзитного анализа Flash роликов перед их отображением пользователю. Программа позволяет выявить и заблокировать выполнения злонамеренных участков ActionScript кода, интегрированных в SWF файлы с целю поражения уязвимой версии плагина Adobe Flash, а также предотвратить использование Flash для проведения некоторых видов атак на браузер.
С целью защиты от принудительного инициирования кликов на рекламу или подмены перехода на нормальные сайты страницей злоумышенника, в Blitzableiter осуществляется перенаправления некоторых ключевых вызовов, таких как ActionGetURL2, на добавляемый к SWF файлу собственный обработчик, контролирующий факты обращения за пределы текущего активного домена и защищающего от CSRF-атак.
Из недостатков, над устранением которых работают разработчики, отмечается увеличению размера исходного файла примерно на 220%, добавление примерно секундной задержки при загрузке файла через анализатор и наличие проблем при модификации определенных видов SWF файлов. Например, при тестировании набора из 92 тысяч SWF файлов, 92% успешно прошли тест на корректность формата, но задействовать защиту Blitzableiter удалось только для 82% файлов (тем не менее Flash контент популярных сервисов, таких как YouTube, подвергается модификации без проблем). При проверке эффективности Blitzableiter успешно блокировал работу всех из 20 участвующих в эксперименте реальных эксплоитов.
Исходные тексты программы распространяются в рамках лицензии GPLv3 , написаны на языке C# и требуют для своего выполнения задействования проекта Mono. Blitzableiter может быть оформлен в виде плгина к web-браузеру или в виде фильтрующего модуля, работающего совместно с прокси сервером Squid. |
|
|
|
|
IMSpector - Instant Messenger proxy |
(Версия: 0.9 от 2009-07-21) [+] [обсудить] |
| Прокси с поддержкой протоколов ICQ, MSN, Jabber/XMPP, AIM, Yahoo, IRC and Gadu-Gadu. Позволяет организовать ведение архива транзитных пересылок, осуществлять мониторинг и блокировку неугодного контента. Лог сообщений может сохраняться как файловом представлении, так и в СУБД MySQL, SQLite и PostreSQL. |
|
|
|
|
Korset - Code-based Intrusion Detection for Linux |
[+] [обсудить] |
| Система, работающая на уровне Linux ядра и производящая мониторинг выполнения приложений в системе. В случае обнаружения аномалий, несвойственных определенной программе, приложение блокируется не дожидаясь факта совершения злонамеренных действий.
Korset состоит из двух базовых модулей:
- Автоматический статический анализатор, строящий CFG правила на этапе сборки приложения.
- Агент, работающий на уровне ядра и проверяющий следование заданным правилам.
Для каждого приложения, на основе статического анализа исходных текстов или бинарного кода строится граф управляющих потоков (Control Flow Graph - CFG), который в дальнейшем используется системой мониторинга, проверяющей валидность выполняемых приложением системных вызовов, с учетом порядка из следования. Испытания системы продемонстрировали полное отсутствие ложных срабатываний. |
|
|
|
|
GreenSQL - Open Source database firewall |
(Версия: 1.3.0 от 2010-10-20) [+] [обсудить] |
| Позволяет защитить MySQL от атак, направленных на подстановку SQL запросов. В отличии от mod_security, реализующего подобную защиту на уровне проверки запросов к http-серверу, GreenSQL представляет собой прокси сервер, непосредственно анализирующий транзитные запросы, выявляющий аномалии и блокирующий опасные операции.
Для каждого запроса GreenSQL вычисляет степень риска, при превышении определенного порога запрос блокируется. В качестве фактов повышающих коэффициент риска, может быть обращение к служебным таблицам, использование комментариев внутри запроса, операции сравнения констант ("1=1"), наличие выражений заведомо возвращающих TRUE, обнуление полей с паролем, появление "OR" внутри запроса и т.д.
Программа позволяет определить список допустимых и запрещенных (например, блокировать запросы с упоминанием id администратора) масок для таких операций, как DELETE, UPDATE и INSERT, а также блокировать выполнение административных операций, подобных DROP и CREATE. Управление программой и просмотр статистики работы производится через web-интерфейс. |
|
|
|
|
Unhide - forensic tool to find hidden processes and TCP/UDP ports by rootkits |
[+] [обсудить] |
| Утилита для обнаружения скрытых процессов и закамуфлированных TCP/UDP портов, созданных в результате активности руткитов или враждебных модулей Linux ядра. Для обнаружения скрытых процессов используется сверка содержимого /proc с выводом команды ps и данными полученными через системные вызовы. Кроме того, реализован режим обнаружения скрытых сетевых портов и процессов через полный тестовый перебор всех портов и PID номеров. |
|
|
|
|
|
mod_ifier - Apache2 request filtering and rejection |
[+] [обсудить] |
| Модуль для Apache2 предоставляющий средства для фильтрации нежелательных запросов, т.е. проще говоря реализация фаервола на уровне Apache.
Поддерживается фильтрация по полям в HTTP заголовках (например, referer и user_agent), параметрам запроса, черным спискам IP адресов. Имеется возможность вызова внешнего скрипта после очередного блокирования (например, для дальнейшего блокирования IP пакетным фильтром). |
|
|
|
|
|
Fail2ban - scans log files and bans IP |
(Версия: 0.8.4 от 2009-09-10) [+] [обсудить] |
| Программа сканирует лог файлы (sshd, apache, vsftpd и т.д.), определяет попытки подбора паролей и блокирует IP с которых производится подбор через пакетный фильтр iptables или hosts.deny. |
|
|
|
|
|
|
|
|
Honeyd - daemon that creates virtual hosts on a network. |
[+] [обсудить] |
| Демон притворяющийся открытым сервисом в котором присутствуют проблемы безопасности. Подходит для создания различных черных списков или автозанесения в фаервол, для защиты от спама, червей, атак и прочей грязи.
Honeycomb — автоматически создает сигнатуры для IDS snort;
LaBrea - сочетает в себе функции Honeypot и IDS;
thp (Tiny Honeypot) - небольшая программа, использующая iptables и xinetd, и позволяющая привязать perl сценарий к возникновению активности на каком-либо порту;
Impost - анализатор трафика на совершение атак, который может работать как Honeypot или сниффер. |
|
|
|
|
|
snort2c - action tool against attackers based in snort alerts |
(Версия: 0.2 от 2005-08-17) [+] [обсудить] |
| *snort2c, работая в паре с IDS Snort, анализирует его вывод и блокирует атакующего используя OpenBSD PF. snort2c основан на snort2pf, но написан на Си.
Основные особенности: модульность, используется kqueue, возможность работы с таблицами PF, PF управляется системными вызовами, возможность работы в фоновом режиме, поддержка "белых" списков, возможность работы с syslog.
|
|
|
|
|
Prelude - Hybrid Intrusion Detection System |
[+] [обсудить] |
| Гибридная система обнаружения атак (Hybrid IDS), работает не только как анализатор транзитного сетевого трафика, но и анализирует работу сервисов, активность пользователей, состояние логов и следит за целостностью наиболее важных файлов на конечном хосте. |
|
|
|
|
DNS Flood Detector |
[+] [обсудить] |
| Программа для мониторинга интенсивности обращений к DNS серверу (для перехвата пакетов используется libpcap). При обнаружении отклонений в объеме запросов с определенного IP, генерируется запись в лог файл. |
|
|
|
|
mod_security - Web Intrusion Detection And Prevention |
(Версия: 1.8.6 от 2004-11-06) [+] [обсудить] |
| Модуль, с помощью которого создать первичный щит по защите пользовательских скриптов на уровне web-сервера.
Возможности: фильтрация по маске в параметрах запроса (например, нормализация путей в запросе: ../, /etc/password), сохранение дополнительной информации в лог файле (содержимое POST запроса, заголовков), обнаружение атак через HTTPS или использования сервера как proxy.
mod_evasive - модуль пытающийся бороться с DoS, DDoS и "brute force" атаками через анализ числа запроса в единицу времени с одного IP или к одной странице. |
|
|
|
|
IP-Sentinel - prevent unauthorized usage of IP |
(Версия: 0.1 от 2003-07-11) [+] [есть мнение] |
| Программа для предотвращения факта самовольного присвоения IP-адресов пользователями в локальной сети. Программа периодически посылает ARP-запросы, и сохраняет MAC-адреса машин во внутренней базе, если обнаружен ответ с несовпадающим MAC-адресом, самовольное присвоение IP блокируется. |
|
|
|
|
sXid - suid/sgid monitoring program |
(Версия: 4.20130802 от 2013-08-09) [+] [обсудить] |
| Запускаемая через cron программа для слежения за suid и sqid файлами в системе. При появлении нового suid файла, администратору направляется отчет по email. Можно настроить sXid для автоматического удаления suid бита, ограничивать область проверки и т.д. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|