[Blue Teams Academy] 모듈 2 - 모든 Blue Teamer가 갖춰야 하는 20가지 오픈 소스 도구

이 모듈에서는 모든 블루 팀원이 갖춰야 할 TOP 20 오픈 소스 툴을 살펴보기로 한다.

하이브

TheHive는 SOC, CSIRT, CERT 및 신속한 조사와 조치가 필요한 보안사고에 대처하는 모든 정보보안 실무자의 삶을 보다 편리하게 하기 위해 설계된 확장 가능한 4-in-1 오픈소스 및 무료 보안사고 대응 플랫폼이다. 우리의 강력한 자유 소스 및 오픈 소스 분석 엔진인 코텍스 덕분에, 100개 이상의 분석기를 사용하여 관측 가능 데이터를 규모에 맞게 분석할 수 있다.

공식 웹사이트: https://thehive-project.org

OSSIM

OSSIM은 오픈 소스 보안 정보 및 이벤트 관리 시스템(SIEM)이다. 2003년에 개발되었다. 그 프로젝트는 나중에 AT&T에 의해 인수되었다.

여기서 다운로드 가능: https://cybersecurity.att.com/products/ossim

HELK

당신이 HELK 프로젝트에 대해 들은 것보다 더 위협적인 사냥에 열중하고 있다면. HELK는 GPL v3 라이선스 하에 로베르토 로드리게스(Cyb3rWard0g)가 개발했다. 이 프로젝트는 스파크, 카프카 등과 같은 다른 유용한 도구 외에도 엘크 스택을 기반으로 만들어졌다.

공식 웹사이트: Cyb3rWard0g/HELK: 사냥 엘크 - 깃허브

네트워크 매퍼

스캐닝은 모든 공격 작전에 필요한 단계 중 하나이다. 대상에 대한 정보를 수집한 후 검색 중인 다른 단계로 이동하십시오. 만약 당신이 정보보안에 관심이 있다면 당신은 당신의 무기에 Nmap을 가지고 있어야 한다. Nmap(네트워크 매퍼의 약칭)은 가장 강력한 네트워크 스캐너다. 그것은 자유롭고 공개적인 원천이다. 제공된 스크립트 덕분에 다른 기능 외에 다른 유형의 네트워크 검색을 수행할 수 있는 기능을 제공한다. 또한 자신만의 NSE 스크립트를 작성할 수 있다.

여기서 다운로드 가능: https://nmap.org/download.html

변동성

메모리 악성 프로그램 분석은 디지털 조사와 악성 프로그램 분석에 널리 사용된다. 악성코드를 실행한 후 대상 시스템에서 버려진 메모리 이미지를 분석하여 네트워크 정보, 실행 프로세스, API 후크, 커널 로딩 모듈, Bash history 등 다수의 유물을 획득하는 행위를 말한다. 변동성은 그것을 하기에 가장 적합한 수단이다. 변동성 재단이 개발한 오픈소스 프로젝트다. 그것은 윈도우, 리눅스, 맥OS에서 실행될 수 있다. 변동성은 dd, 라임 형식, EWF 및 기타 많은 파일을 포함한 다양한 메모리 덤프 형식을 지원한다.

여기서 변동성을 다운로드할 수 있음: https://github.com/volatilityfoundation/volatility

데미스토 커뮤니티 에디션

보안 조정, 자동화 및 대응 또는 단순 SME는 반복적인 보안 작업을 자동화하여 분석가들의 피로를 피할 수 있는 매우 효과적인 플랫폼 및 툴이다. 가장 유명한 플랫폼 중 하나는 데미스토다. 이 플랫폼은 또한 많은 무료 플레이북을 제공한다.

https://www.demisto.com/community/에서 커뮤니티 버전을 다운로드하십시오.

와이어 샤크

의사소통과 네트워킹은 모든 현대 조직에서 필수적이다. 조직의 모든 네트워크가 안전한지 확인하는 것이 핵심 임무다. 네트워크를 모니터링하는 데 가장 적합한 도구는 단연 와이어샤크다. Wireshark는 심층 검사 기능으로 네트워크 프로토콜을 분석할 수 있도록 도와주는 무료 오픈 소스 툴이다. 실시간 패킷 캡처 또는 오프라인 분석을 수행할 수 있는 기능을 제공한다. 그것은 윈도우, 리눅스, MacOS, FreeBSD를 포함한 많은 운영 체제와 더 많은 시스템을 지원한다.

여기서 다운로드 가능: https://www.wireshark.org/download.html

아토믹 레드 팀

Atomic __Red Team__은 모든 __security team_이 상대방에 의해 사용되는 것과 동일한 __technique__를 실행하는 간단한 "원자 테스트"를 실행하여 통제력을 테스트할 수 있도록 허용한다(모두 다음과 같이 매핑됨). 미트레의 ATT&CK)

공식 웹사이트: https://github.com/redcanaryco/atomic-red-team

칼데라

또 다른 위협 시뮬레이션 도구는 칼데라다.

CALDERA는 __WindowsEnterprise__ 네트워크 내에서 보상 후 적대적 행동을 수행하는 __자동화된__ 적대적 에뮬레이션 시스템이다. 다음을 사용하여 운영 중에 계획을 생성한다. 계획 체계 그리고 에 기반한 사전 구성된 상대 모델 대립 전술, 기술 및 상식 (ATT&CK™) 프로젝트.

공식 웹사이트: https://github.com/mitre/caldera

Suricata

침입 탐지 시스템은 침입과 악의적인 활동으로부터 방어하기 위해 현대 조직에서 큰 역할을 하는 장치나 소프트웨어의 집합이다. 네트워크 기반 침입 탐지 시스템의 역할은 인바운드 및 아웃바운드 트래픽을 모니터링하여 네트워크 이상을 탐지하는 것이다. 가장 많이 사용되는 IDS 중 하나는 수리카타다. 수리카타는 OISF(Open Information Security Foundation)에서 개발한 오픈소스 IDS/IPS이다.

공식 웹사이트: https://suricata-ids.org

지크(공식 브로 IDS)

Zeek은 가장 인기 있고 강력한 NIDS 중 하나이다. Zeek은 이전에 Bro에 의해 알려졌다. 이 네트워크 분석 플랫폼은 대규모 전문가 커뮤니티가 지원한다. 따라서 문서화는 매우 상세하고 양호하다.

공식 웹사이트: https://www.zeek.org

OSSEC

 

OSSEC는 강력한 호스트 기반 침입 탐지 시스템이다. LID(Log-based Intrusion Detection), Rootkit 및 Malware Detection, Compliance Auditing, File Integrity Monitoring(FIM) 및 기타 많은 기능을 제공한다.

공식 웹사이트:https://www.ossec.net

OSQuery

OSQuery는 간단한 쿼리를 이용해 시스템 분석과 모니터링을 수행하기 위해 많은 운영 체제에서 지원하는 프레임워크다. SQL 쿼리를 사용한다.

공식 웹사이트:https://www.osquery.io

액세스데이터 FTK 이미저

포렌식 이미지는 디지털 포렌식에서 매우 중요한 작업이다. 영상촬영은 증거를 보호하고 그것이 적절하게 처리되었는지 확인하는 것이 매우 중요하기 때문에 파일을 빠뜨리지 않고 무결성을 보장하면서 세심하게 데이터를 복사하는 것이다. 정상적인 파일 복사와 이미징에는 차이가 있는 이유다. 이미징이 전체 드라이브를 캡처하는 중. 드라이브를 영상화할 때 분석가는 마스터 부트 레코드를 포함한 전체 물리적 볼륨을 이미징한다. 사용된 도구 중 하나는 "AccessData FTK Imager"이다.

공식 웹사이트: https://accessdata.com/product-download/ftk-imager-version-4-2-0

쿠쿠

멀웨어 분석은 바이러스, 웜, 트로이 목마, 루트킷 또는 백도어와 같은 특정 멀웨어 샘플의 기능, 출처 및 잠재적 영향을 결정하는 기술이다. 악성 소프트웨어 분석가로서 우리의 주된 역할은 악성 소프트웨어에 대한 모든 정보를 수집하고 감염된 기계에 무슨 일이 일어났는지 잘 이해하는 것이다. 가장 잘 알려진 악성코드 샌드박스는 뻐꾸기다.

공식 웹사이트: https://cuckoo.sh/blog/

이동 인터넷 정보 제공자

멀웨어 정보 공유 플랫폼(Malware Information Sharing Platform) 또는 단순 MISP(Misp)는 분석가들이 협업하여 그들 사이의 최신 위협에 대한 정보를 공유하는 오픈 소스 위협 공유 플랫폼이다. 이 프로젝트는 크리스토프 반데플라스에 의해 개발되었으며 GPL v3 라이센스 하에 있다.

공식 웹사이트:https://www.misp-project.org

Ghidra

또 다른 위대한 역공학 도구는 기드라다. 이 프로젝트는 오픈소스이며, 국가안전보위부 연구총국(National Security Agency Research Directorate)에 의해 유지되고 있다. Ghidra는 당신에게 다양한 파일 형식을 분석할 수 있는 능력을 준다. 윈도, 리눅스, 맥OS를 지원한다. 자바를 실행하려면 자바를 설치해야 한다. 이 프로젝트에는 많은 유용한 세부 교육, 문서화 및 부정행위 시트가 함께 제공된다. 또한 Java나 Python을 사용하여 자신만의 플러그인을 개발할 수 있는 기능을 제공한다.

공식 웹사이트는 http://ghidra-sre.org이다.

코웃음쳐라

 

또 다른 강력한 네트워크 기반 침입 탐지 시스템은 Snort이다. 이 프로젝트는 매우 강력하고 500만 번 이상 개발되었다. 그러므로, 그것은 잘 문서화되어 있고 네트워크 보안 전문가들로 구성된 대규모 커뮤니티에 의해 지원되고 있다.

공식 웹사이트: https://www.snort.org

보안 양파

앞에서 설명한 많은 도구를 포함하는 즉시 사용할 수 있는 OS를 찾고 있는 경우 보안 양파만 다운로드하십시오. IT는 침입 탐지, 엔터프라이즈 보안 모니터링 및 로그 관리를 위한 무료 오픈 소스 Linux 배포판이다.

공식 웹사이트:https://github.com/Security-Onion-Solutions/security-onion

 

 

In this module we are going to explore the TOP 20 open source tools that every blue teamer should have:

The Hive

TheHive is a scalable 4-in-1 open source and free security incident response platform designed to make life easier for SOCs, CSIRTs, CERTs and any information security practitioner dealing with security incidents that need to be investigated and acted upon swiftly. Thanks to Cortex, our powerful free and open-source analysis engine, you can analyze (and triage) observables at scale using more than 100 analyzers.

Its official website: https://thehive-project.org

OSSIM

OSSIM is an open-source security information and event management system (SIEM). It was developed in 2003. The project was acquired later by AT&T.

You can download it from here: https://cybersecurity.att.com/products/ossim

The HELK

If you are into threat hunting than you probabilly heard of the HELK project. The HELK was developed by Roberto Rodriguez (Cyb3rWard0g) under GPL v3 License. The project was build based on the ELK stack in addition to other helpful tools like Spark, Kafka and so on.

Its official website: Cyb3rWard0g/HELK: The Hunting ELK - GitHub

Nmap

Scanning is one of the required steps in every attacking operation. After gathering information about a target you need to move on to another step which is scanning. If you are into information security you should have Nmap in your arsenal. Nmap (The abbreviation of Network mapper) is the most powerful network scanner. It is free and open-source. It gives you the ability to perform different types of network scans in addition to other capabilities thanks to its provided scripts. Also, you can write your own NSE scripts.

You can download it from here: https://nmap.org/download.html

Volatility

Memory malware analysis is widely used for digital investigation and malware analysis. It refers to the act of analyzing a dumped memory image from a targeted machine after executing the malware to obtain multiple numbers of artifacts including network information, running processes, API hooks, kernel loaded modules, Bash history, etc. Volatility is the most suitable tool to do that. It is an open-source project developed by volatility foundation. It can be run on Windows,Linux and MacOS. Volatility supports different memory dump formats including dd, Lime format, EWF and many other files.

You can download Volatility from here: https://github.com/volatilityfoundation/volatility

Demisto Community Edition

Security Orchestration, Automation and Response or simply SOAR are very effective platforms and tools to avoid analysts fatigue by automating many repetitive security tasks. One of the most-known platforms is Demisto. The platform provides also many free playbooks.

You can download the community edition from here: https://www.demisto.com/community/

Wireshark

Communication and networking are vital for every modern organization. Making sure that all the networks of the organization are secure is a key mission. The most suitable tool that will help you monitor your network is definitely Wireshark. Wireshark is a free and open-source tool to help you analyse network protocols with deep inspection capabilities. It gives you the ability to perform live packet capturing or offline analysis. It supports many operating systems including Windows, Linux, MacOS, FreeBSD and many more systems.

You can download it from here: https://www.wireshark.org/download.html

Atomic Red Team

Atomic __Red Team__ allows every __security team__ to test their controls by executing simple "atomic tests" that exercise the same __techniques__ used by adversaries (all mapped to Mitre's ATT&CK)

Its official website: https://github.com/redcanaryco/atomic-red-team

Caldera

Another threat simulation tool is Caldera.

CALDERA is an __automated__ adversary emulation system that performs post-compromise adversarial behavior within __WindowsEnterprise__ networks. It generates plans during operation using a planning system and a pre-configured adversary model based on the Adversarial Tactics, Techniques & Common Knowledge (ATT&CK™) project.

Its official website: https://github.com/mitre/caldera

Suricata

Intrusion detection systems are a set of devices or pieces of software that play a huge role in modern organizations to defend against intrusions and malicious activities. The role of network-based intrusion detection systems is to detect network anomalies by monitoring the inbound and outbound traffic. One of the most-used IDSs is Suricata. Suricata is an open-source IDS/IPS developed by the Open Information Security Foundation (OISF)

Its official website: https://suricata-ids.org

Zeek (Formely Bro IDS)

Zeek is one of the most popular and powerful NIDS. Zeek was known before by Bro. This network analysis platform is supported by a large community of experts. Thus, its documentation is very detailed and good.

Its official website: https://www.zeek.org

OSSEC

 

OSSEC is a powerful host-based intrusion detection system. It provides Log-based Intrusion Detection (LIDs), Rootkit and Malware Detection, Compliance Auditing, File Integrity Monitoring (FIM) and many other capabilities.

Its official website:https://www.ossec.net

OSQuery

OSQuery is a framework that is supported by many operating systems in order to perform system analytics and monitoring using simple queries. It uses SQL queries.

Its official website:https://www.osquery.io

AccessData FTK Imager

Forensics imaging is a very important task in digital forensics. Imaging is copying the data carefully with ensuring its integrity and without leaving out a file because it is very critical to protect the evidence and make sure that it is properly handled. That is why there is a difference between normal file copying and imaging. Imaging is capturing the entire drive. When imaging the drive, the analyst image the entire physical volume including the master boot record. One of the used tools is "AccessData FTK Imager".

Its official website: https://accessdata.com/product-download/ftk-imager-version-4-2-0

Cuckoo

Malware analysis is the art of determining the functionality, origin and potential impact of a given malware sample, such as a virus, worm, trojan horse, rootkit, or backdoor. As a malware analyst, our main role is to collect all the information about malicious software and have a good understanding of what happened to the infected machines. The most-known malware sandbox is cuckoo.

Its official website: https://cuckoo.sh/blog/

MISP

Malware Information Sharing Platform or simply MISP is an open-source threat sharing platform where analysts collaborate and share information about the latest threats between them. The project was developed by Christophe Vandeplas and it is under GPL v3 license.

Its official website:https://www.misp-project.org

Ghidra

Another great reverse engineering tool is Ghidra. This project is open-source and it is maintained by the National Security Agency Research Directorate. Ghidra gives you the ability to analyze different file formats. It supports Windows, Linux and MacOS. You need to install Java in order to run it. The project comes with many helpful detailed training, documentation and cheat-sheets. Also, it gives you the ability to develop your own plugins using Java or Python.

Its official website is: http://ghidra-sre.org

Snort

 

Another powerful network-based intrusion detection system is Snort. The project is very powerful and it was developed more than 5 million times. Thus, it is well documented and it is supported by a large community of network security experts.

Its official website: https://www.snort.org

Security Onion

If you are looking for a ready-to-use OS that contains many of the previously discussed tools you can simply download Security Onion. IT is a free and open-source Linux distribution for intrusion detection, enterprise security monitoring, and log management.

Its official website:https://github.com/Security-Onion-Solutions/security-onion

 

 

※ 출처 : Blue Teams Academy | www.blueteamsacademy.com/top20/