专栏首页FreeBufRITA:一款功能强大的真实情报威胁分析工具

RITA:一款功能强大的真实情报威胁分析工具

工具介绍

RITA是一款专门针对网络流量分析与测试人员的开源框架,广大研究人员可以利用RITA来对收集到的安全威胁情报进行深度分析。

RITA能够以TSV格式来读取Bro/Zeek日志,该工具当前支持以下几个主要功能:

1、Beacon检测:搜索目标网络中的所有Beacon行为标记; 2、DNS隧道检测:搜索基于DNS的隐蔽通信信道标记; 3、黑名单检测:查询黑名单以搜索可疑域名和主机;

工具安装

自动化安装

RITA的自动安装工具目前支持Ubuntu 16.04 LTS,Security Onion*和CentOS 7。

1、从RITA项目的【Release页面】下载最新版本的install.sh文件。

2、给install.sh脚本提供可执行权限:

chmod +x ./install.sh

3、使用下列命令运行安装器:

sudo ./install.sh

如需在Security Onion平台上使用RITA来进行信息收集,请查看这篇https://securityonion.net/docs/RITA。

手动安装

构建RITA源码:

go get github.com/activecm/rita(git clone git@github.com:activecm/rita.git)$GOPATH/src/github.com/activecm/ritacd $GOPATH/src/github.com/activecm/ritamake

配置系统:

sudo mkdir /etc/rita && sudo chmod 755 /etc/ritasudo mkdir -p /var/lib/rita/logs && sudo chmod -R 755 /var/lib/ritasudo cp $GOPATH/src/github.com/activecm/rita/etc/rita.yaml /etc/rita/config.yaml && sudo chmod 666 /etc/rita/config.yaml

工具使用

系统要求

1、操作系统:64位Ubuntu 16.04 LTS,并使用“apt-get”完成系统更新。 2、处理器:至少三核心,如果与其他虚拟机产生资源竞争,则有可能导致数据包丢失。 3、内存:至少16GB内存,如需监控100MB以上网络流量,则需64GB内存;如需监控1GB以上网络流量,则需128GB内存。 4、存储:至少300GB存储空间,建议使用1TB或更多。 5、网络:为了结合Bro/Zeek来不作流量,我们需要至少两块网卡,其中一个负责系统的管理,另一块负责捕捉端口流量。

配置文件

Filtering: InternalSubnets是必须配置的,否则无法查看到分析结果。如果你的网络使用了标准RFC1918,内部IP范围为10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16,我们需要去掉配置文件中InternalSubnets数据域的注释,并根据我们的环境情况进行参数修改。RITA的主要目标是为了寻找已被入侵的内部系统在于外部系统通信的标识,并且能够自动过滤内部终端的通信。

除了Filtering: InternalSubnets之外,你可能还需要配置Filtering: AlwaysInclude,它是一个范围列表,可以指定需要过滤的内容。

获取数据(生成Bro/Zeek日志)

选项1:生成PCAP

使用一个数据包嗅探工具生成PCAP文件,例如tcpdumpwireshark等等。

(可选项)将多个PCAP文件整合为一个PCAP文件:

mergecap -w outFile.pcap inFile1.pcap inFile2.pcap

或,利用Bro/Zeek日志生成PCAP文件:

bro -r pcap_to_log.pcap local "Log::default_rotation_interval = 1 day"

选项2:安装Bro/Zeek,并直接监控目标接口

出于性能考虑,你可能需要编译Bro/Zeek源码,这个脚本可以完成自动化编译。

RITA自动化安全器默认会对Bro/Zeek源码进行预编译,只需要在运行安装器的时候提供“—disable-bro”参数即可。

使用样例

如果你想获取当周有价值的威胁情报数据,可以直接使用下列RITA命令:

rita import --rolling --numchunks 7 /opt/bro/logs/current week-dataset

如果你想获取48小时内有价值的威胁情报数据,可以直接使用下列RITA命令:

rita import --rolling --numchunks 48 /opt/bro/logs/current 48-hour-dataset

使用RITA测试数据

使用show-X命令:

1、show-databases: 输出当前存储的数据集 2、show-beacons: 打印检测到了C2痕迹的主机列表 3、show-bl-hostnames: 打印黑名单中接收链接的主机名列表 4、show-bl-source-ips: 打印黑名单中初始化链接的IP列表 5、show-bl-dest-ips: 打印黑名单中接收链接的IP列表 6、show-exploded-dns: 打印DNS分析结果,显示隐蔽的DNS信道 7、show-long-connections: 打印长链接以及相关信息 8、show-strobes: 打印高频链接 9、show-useragents: 打印用户代理信息

以CSV/HTML格式显示数据:

1、-H:以人类可读的格式显示数据。 2、html-report:生成HTML报告。

项目地址

RITA:https://github.com/activecm/rita

许可证协议

RITA项目遵循GNU GPL v3开源许可证协议。

*参考来源:activecm,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:Alpha_h4ck

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-11-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 2017第二届中国信息安全服务年会:多方解读国家政策,推进网络安全法与关键信息基础设施保护落地

    同一个议题,不同的嘉宾,同与不同的见解或想法。 在参会中我们听到了不同的嘉宾从不同角度解读网络安全法与关键信息基础设施保护,国家政策和国家意志的实现究竟会落实到...

    FB客服
  • MontysThree工业间谍软件分析

    2020年夏季发现了针对性较强的工业间谍软件的活动,工具集中包含未知的C++模块。恶意软件作者将工具集命名为“ MT3”,研究人员将工具集命名为“ Montys...

    FB客服
  • 基于标记数据学习降低误报率的算法优化

    无论是基于规则匹配的策略,还是基于复杂的安全分析模型,安全设备产生的告警都存在大量误报,这是一个相当普遍的问题。其中一个重要的原因是每个客户的应用场景和数据都多...

    FB客服
  • 2020-5-16-理解Graphql

    之前2020-5-6-restful理解 - huangtengxiao和大家提及了RESTfulAPI的一个弊端,就是接口膨胀。

    黄腾霄
  • 那些一键抠图的软件是怎么做到的?这些语义分割方法了解一下

    在深度学习时代到来之前,大量的图像处理技术被用来将图像分割成一些感兴趣的区域(ROI)。下面列出了一些常用的方法。 灰度分割 这是最简单的语义分割形式,它包...

    机器之心
  • python实现地址分布可视化

    当你知道某些详细地址信息,该如何利用。本文通过调用百度地图接口,实现用户可视化展示,便于更清楚地了解用户。 注册百度地图开放平台帐号 首先先到http://de...

    小莹莹
  • windows远程桌面管理软件默认端口修改

        很多黑客用软件每天都在扫描开放了3389端口的服务器,为了让自己的服务器减少受到黑客攻击的机会,大多数站长都会选择修改掉这个默认的3389端口。

    it妹
  • 快播王欣:转椅与高墙之间,差了一个AI

    镁客网
  • ffplay.c 源码分析- 音频部分

    1. 读取线程-read_thread 在main方法中会启动的读取的线程。 这个和视频的线程模型中是一致的。不同的是,循环读取的数据是音频数据。

    deep_sadness
  • 机器学习如何改变大数据管理

    【大数据时代】机器学习如何改变大数据管理 ? 如今,企业在如何克服商业挑战方面很少根本性的改变,机器学习在市场中的应用也是如此。各种类型企业都希望利用机器学习来...

    企鹅号小编

扫码关注云+社区

领取腾讯云代金券