⏪ 👞 👢 オープンソースのシスコサイバーセキュリティプロジェクト 👟 🤳🏼 🚫

サイバーセキュリティの分野でシスコが開発したオープンソースプロジェクトに関しては、ほとんどの専門家は、人気のあるSnort、場合によってはClamAV、Habrページで説明されている OpenSOCツールのみを思い出します。実際、シスコはかなりオープンな企業であり（情報セキュリティソリューションと連携するためのAPIが多数あります）、オープンソースコミュニティで非常に活発であり、ユーザーに多数のプロジェクトを提供していますが、その多くはサイバーセキュリティに費やされています。このノートでは、このトピックに関連するシスコのオープンソースプロジェクトをすべてまとめたいと思います。

私たちのISサービスがその内部目的のために使用するプロジェクトからレビューを開始したいと思いますが、それは幅広い専門家のために共有されています：

OpenSOC サイバーセキュリティの観点からビッグデータを分析するためのプラットフォーム。これについてはすでにHabréで書いています。
GOSINT 。これは、高品質の侵害の指標を収集、処理、ソート、およびエクスポートするために設計されたフレームワークです。 GOSINTのソースとして、Twitterチャンネルとさまざまなフィードの両方を使用できます。インジケータマルウェアは、Cisco Umbrella、ThreatCrowd、VirusTotalなどの外部ソリューションを使用してテストできます。インジケーターはCSVまたはCRITにエクスポートされます。このソリューションの詳細については、ブログをご覧ください。
netsarlacc 。これは、企業のセキュリティ監視センターまたはインシデント対応サービスで使用できる、HTTPおよびSMTP用の高性能企業シンクホールです。このツールは、既存のブロッキング、検疫、キャプティブポータル、DNS RPZなどのトラフィックリダイレクトソリューションと連携して機能します。典型的なシナリオでは、netsarlaccはユーザーのリダイレクト先のIP / CNAMEとして機能し、間違った場所に移動しようとしたり、何か間違ったことをしようとしたりします。
マルスパイダーこれは、企業のWebサイトとポータルを検査して、侵害されているかどうかを判断する「スパイダー」です。 Malspiderは、組み込みのアルゴリズムとテンプレートを使用して、非表示のiframe、スクリプトの挿入（挿入）、電子メールの展開などを検出します。侵害されたサイトを見つけることに加えて、Malspiderは侵害の指標を生成するためにも使用され、その後、他のセキュリティソリューションで使用できます。

より多くのオープンソースプロジェクトは、Cisco IBサービスではなく、さまざまな脅威を調査し、証拠の収集、調査、侵害の兆候の準備などに関連する多くのタスクを自動化する調査ユニットCisco Talosによって開発されました。

いびき攻撃を検出し、ネットワークトラフィックを分析するための絶えず進化するシステム。これは、ネットワークセキュリティ業界で事実上の標準になっています。それに基づいて、国内の攻撃検出システムの大半が構築されました。
デーモンロガー。ネットワークトラフィックの監視に使用できるソフトウェアスプリッター（タップ）と同様に、簡単で高速なスニファー。
喜び。デーモンロガーとは異なり、個々のパケットやセッションではなく、NetflowまたはIPFIXネットワークストリームをキャプチャするツールで、情報セキュリティの監視やネットワークインシデントの調査に使用できます。このツールを積極的に使用して、暗号化されたトラフィックを分析し、暗号化されていない悪意のあるコードの痕跡を検索しました。
TRex 。無料のステートフルおよびステートレスのクライアントおよびサーバートラフィックジェネレーターL4-L7、単一サーバーで400ギガビット/秒に拡張可能。このツールを使用して、サイバーセキュリティの分野（DPI、ITU、IPS、NAT、ロードバランサー、キャッシュサーバーなど）を含むさまざまなネットワークソリューションをテストおよび比較できます。喜びとTRexプロジェクトはTalosによって開発されたものではありませんが、全体像にうまく適合するため、私はこれらをこのリストに含めました。
TAXIIログアダプタ。 TAXIIサービスを使用してSIEM（現在のSplunkとArcsight）の作業を改善するプロジェクト。アダプタは、脅威、侵害の兆候などに関するデータを受信し、それらをJSONやCEFなどのわかりやすいSIEM形式に変換します。
ClamAV トロイの木馬、ウイルス、およびその他の種類の悪意のあるコードを検出するためのウイルス対策エンジン。元々は電子メールスキャン用に設計されていましたが、エンジンとして他の目的に使用できます。
モフローさまざまなテストを生成し、情報セキュリティのコンテキストでそれらの答えを分析することにより、ソフトウェアの脆弱性を検索および優先順位付けするように設計されたいくつかのツール（FuzzFlow、SliceFlow、ExploitFlow）を含むフレームワーク。
レイザーバックもう1つのTalosフレームワークは、クライアントノードへの攻撃を検出するための分散エンジンです。
PE-Sig 。実行可能ファイルのPEセクションを分析し、実行可能コードの有名なパッカーの署名を生成するプロセスを自動化するツール。ClamAVなどのさまざまなマルウェア分析ツールにロードできます。
TeslaCrypt復号化ツール。 TeslaCryptランサムウェアで暗号化されたファイルを復号化できるコマンドラインユーティリティ。このソリューションの詳細については、ブログをご覧ください。
Synful Knock Scanner 。 SYNFul Knockマルウェアに感染したルーターを識別するネットワークスキャナー。
LockyDump 。 Locky悪意のあるコードのすべての既知の変更から構成パラメーターを取得できるユーティリティ。このソリューションの詳細については、ブログをご覧ください。
MBRフィルター。 MBR（マスターブートレコード）への書き込みを防ぐ最も単純なユーティリティ。このソリューションの詳細については、ブログをご覧ください。
FreeSentry 特定のタイプの脆弱性（一部のRCEクラスなど）の悪用を複雑にするLLVMコンパイラーのプラグイン。このソリューションの詳細については、ブログをご覧ください。
最初に。 Function Identification and Recover Signature ToolはIDA Proのプラグインであり、リバースエンジニアがより速く簡単な静的解析を実行できるようにします。このソリューションの詳細については、ブログをご覧ください。
Flokibot 有名なZeusマルウェアと同じコードに基づいて、Flokibotの悪意のあるコードの分析を自動化するスクリプトのセット。このソリューションの詳細については、ブログをご覧ください。
ROPMEMU Volatilityのプラグインを含む、コードの再利用を使用した複雑な攻撃を分析するためのツール。このソリューションの詳細については、ブログをご覧ください。
バス自動署名シンセサイザー-既存のサンプルに基づいてウイルス対策署名を自動生成するためのフレームワーク。ハッシュベースの署名とは異なり、BASSはテンプレートベースの署名を生成し、ウイルスアナリストやリバースエンジニアの時間とリソースを解放します。このソリューションの詳細については、ブログをご覧ください。
PyREBox 。これは、リバースエンジニアリング用のQEMUベースのPythonサンドボックスです。このソリューションの詳細については、ブログをご覧ください。
File2pcap このユーティリティを使用すると、入力ファイルをpcapに変換できます。このファイルでは、添付ファイルとしてのソースファイルがHTTP / HTTP2 / FTP / SMTP / IMAP / POP3を介して送信されます。このソリューションの詳細については、ブログをご覧ください。
反乱ファザーこれは、正当なトラフィック（たとえば、ブラウザーリクエスト）をpcapの形式で記録し、ターゲットホストに繰り返し送信し、必要に応じてトラフィックパラメーターを変更し、ノードの応答動作を調べることができるネットワークファザーです。このソリューションの詳細については、ブログをご覧ください。
詐欺。 Pythonで記述され、TCP、SSL、UDP、Unixソケット、Rawソケット、IPv6（およびそれらの任意の組み合わせ）をサポートするネットワークプロキシ。分析、オンザフライでの書き換えなどのために、トラフィックを.pcapまたは.fuzzer形式（Mutiny Fuzzerとの統合用）で記録できます。このソリューションの詳細については、ブログをご覧ください。

このサイバーセキュリティ分野のオープンソースプロジェクトのリストでは、完了できますが、できません。情報セキュリティサービスの内部活動、Cisco Talosのフレームワーク内での悪意のあるコードの調査、またはシスコが実施する他のプロジェクト（例：喜びやTRex）のために、常に新しいものがあります。これらはすべて、当社のインターネットページで追跡できます。

オープンソースのシスコサイバーセキュリティプロジェクト

More articles: