Attack Monitor是一款什么軟件

這篇文章主要介紹Attack Monitor是一款什么軟件，文中介紹的非常詳細(xì)，具有一定的參考價值，感興趣的小伙伴們一定要看完！

工具介紹

   Attack Monitor是一款Python應(yīng)用程序，可以幫助安全研究人員增強(qiáng)Windows 7/2008（及所有更高版本）工作站或服務(wù)器的安全監(jiān)控功能，并且能夠自動對惡意軟件進(jìn)行動態(tài)分析。

當(dāng)前模式

1、終端檢測（ED）

2、惡意軟件分析（須在特定虛擬機(jī)環(huán)境中執(zhí)行）

支持事件

1、Windows事件日志

2、Sysmon

3、Watchdog（文件系統(tǒng)監(jiān)控Python庫）

4、TShark（僅支持惡意軟件分析模式）

當(dāng)前版本

Attack Monitor：v0.9.0（Alpha版本）

工具演示

支持的操作系統(tǒng)

1、Windows 7, 8, 10 (x86位或x64位)

2、Windows 2008, 2012, 2016 (x86位或x64位)

工具依賴組件

1、Powershell 5

2、Sysmon (通過installer.py下載、配置和安裝)

3、Python 3.6 (64-bit) - 理論支持Python 3.x

4、Tshark (僅惡意軟件分析)

5、各種Python3庫 (requirements.txt)

6、StoneEngine 庫(首次發(fā)布，高級Windows事件日志接口)

支持的系統(tǒng)事件

注意：其中部分事件僅支持惡意軟件分析模式。

文件系統(tǒng)修改

允許的網(wǎng)絡(luò)連接

PowerShell活動

進(jìn)程創(chuàng)建

SMB活動

計(jì)劃任務(wù)

本地帳號修改

驅(qū)動器加載

元磁盤訪問

注冊表監(jiān)控

管道事件

服務(wù)監(jiān)控

日志審計(jì)

WMI監(jiān)控

DNS請求捕捉（通過Tshark）

工具安裝-終端檢測模式

首先，從本項(xiàng)目的GitHub庫將項(xiàng)目源碼克隆至本地：

git clone https://github.com/yarox24/attack_monitor.git

切換到本地項(xiàng)目目錄，運(yùn)行下列命令：

<Download newest release>cmd.exe (Run as admin)pip3 install -U -r requirements.txtpython installer.py sysmon  => Choose endpoint detection modepython installer.py psauditpython installer.py auditpolpython installer.py install  => Choose endpoint detection modepython installer.py exceptions[Apply section] Installation - How to enable WMI audit?

工具安裝-惡意軟件分析模式

cmd.exe (Run as admin)pip3 install -U -r requirements.txtpython installer.py sysmon  => Choose malware analysis modepython installer.py psauditpython installer.py auditpolpython installer.py install  => Choose malware analysis mode[Install tshark] https://www.wireshark.org/download.html // To default location[Apply section] Installation - How to choose network interface for malware listening? // (currently only DNS)[Apply section] Installation - How to enable WMI audit?[Apply section] Installation - How to monitor specific directories?

如何啟用WMI審計(jì)功能

compmgmt.mscServices and Applications -> WMI Control -> PropertiesSecurity -> Security -> Advanced -> Auditing -> AddSelect principal: EveryoneType: AllShow advanced permissions:  Select all (Execute Methods ... Edit Security)

如何選擇監(jiān)聽惡意軟件的接口?

編輯“C:\Program Files\Attack Monitor\config\attack_monitor.cfg”文件，修改文件中的“ C:\Program Files\Attack Monitor\config\attack_monitor.cfg”參數(shù)。

如何判斷接口名稱？

TShark使用的名稱來自于控制面板\網(wǎng)絡(luò)和Internet\網(wǎng)絡(luò)連接，默認(rèn)名為Ethernet0。

如何指定監(jiān)控目錄？

編輯文件“ C:\Program Files\Attack Monitor\config\monitored_directories.json”，針對惡意軟件分析，我們建議研究人員監(jiān)控目錄“C:\”下的所有事件，并添加額外的相關(guān)目錄。

工作機(jī)制

1、通過監(jiān)聽事件源來發(fā)送警告（Windows事件日志、Sysmon、文件系統(tǒng)修改和TShark）

2、根據(jù)“config\exceptions\exception.json”的配置進(jìn)行警報(bào)檢測，該文件中包含所有警報(bào)信息。針對終端檢測，需要用戶自定義要忽略的警報(bào)。針對惡意軟件分析，你需要針對目標(biāo)系統(tǒng)添加例外情況。

3、如果exception.json文件中存在警告，則返回第一步，否則進(jìn)行下一步。

4、學(xué)習(xí)模式是否啟用？如果啟用，工具則會彈出警告詢問是否需要忽略這條警報(bào)，需依據(jù)正則表達(dá)式。

5、警告用戶捕捉事件，并輸出結(jié)果：

系統(tǒng)托盤氣泡提醒。

警報(bào)信息將被保存在logs\.txt文件中。

以上是“Attack Monitor是一款什么軟件”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對大家有幫助，更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道！