許多公司在構(gòu)建網(wǎng)絡(luò)安全能力時，通常會從防火墻、防病毒、入侵檢測和身份驗證等方面來起步。當(dāng)這些防護能力建設(shè)完成后，企業(yè)就會逐漸將資源投入到更復(fù)雜的主動安全實踐中，例如威脅狩獵。傳統(tǒng)的安全防御方法通常是在威脅發(fā)生后才開始工作，相比之下，威脅狩獵則是一種不同的處理方法。

組織實施威脅狩獵計劃的核心目標(biāo)就是要縮短出現(xiàn)危險和完成攻擊之間的時間差，即所謂的“停留時間”。當(dāng)攻擊行為者在企業(yè)環(huán)境中停留的時間越長，他們可能造成的傷害后果就越大。更確切地說，威脅狩獵需要能夠發(fā)現(xiàn)傳統(tǒng)安全工具未檢測到的風(fēng)險，并幫助企業(yè)分析和提高現(xiàn)有威脅檢測機制和流程的有效性，提出合理的安全性優(yōu)化建議。此外，它們還需要能夠識別新的攻擊手法、戰(zhàn)術(shù)、技術(shù)和程序 (TTP)，從而發(fā)起全新的威脅處置任務(wù)。

盡管安全分析師可以人工方式完成以上各種任務(wù)，但是在效率和時間上很難滿足企業(yè)的實際應(yīng)用需求。更有效的威脅狩獵工作應(yīng)該是在高度自動化的流程中完成，充分利用UEBA、機器學(xué)習(xí)等技術(shù)手段為分析師提供幫助。企業(yè)在選型威脅狩獵工具時，應(yīng)該重點關(guān)注以下功能：

• 是否能夠為安全分析師提供各種安全事件的信息收集服務(wù)。
• 是否可以聚合數(shù)據(jù)，形成統(tǒng)一的事件記錄情報。
• 是否支持多樣化的威脅檢測策略。
• 是否具有人工分析的選項。
• 自動響應(yīng)設(shè)置能力是否強大。
• 是否可以在正式購買前提供試用。

本文收集整理了目前較受安全分析師青睞的10款免費開源威脅搜尋工具，并對其應(yīng)用特點進行了分析：

1、AIEngine

AIEngine是一款典型的威脅態(tài)勢驅(qū)動識別工具，支持Python、Ruby、Java和Lua的數(shù)據(jù)包安全檢測引擎，通過這種交互式工具，企業(yè)可以進一步提升網(wǎng)絡(luò)系統(tǒng)的入侵檢測能力。

AIEngine的主要功能包括下一代交互式入侵檢測系統(tǒng)、DNS域分類、網(wǎng)絡(luò)收集器、網(wǎng)絡(luò)取證分析及其他安全檢測功能。通過使用AIEngine，安全分析師可以快速檢測垃圾郵件和收集網(wǎng)絡(luò)信息，進一步提升網(wǎng)絡(luò)取證分析的能力;還可以使用該工具更深入地理解流量，并為防火墻和安全軟件創(chuàng)建威脅特征。

傳送門：

https://github.com/camp0/aiengine。

2、APT-Hunter

APT- Hunter是由Ahmed Khlief設(shè)計開發(fā)，是一款面向Windows事件日志的威脅搜尋工具，可以檢測可疑活動，并跟蹤高級持續(xù)性威脅(APT)活動。它對威脅分析師、事件響應(yīng)人員和取證調(diào)查人員大有幫助。該工具的默認(rèn)規(guī)則是將Mitre ATT&CK戰(zhàn)術(shù)與Windows事件日志的ID對應(yīng)起來，從而快速檢測攻擊指標(biāo)(包括APT技術(shù))。

免費版的APT-Hunter可以根據(jù)已發(fā)現(xiàn)的APT攻擊情報信息識別系統(tǒng)中的APT活動，通過更快速的攻擊檢測來縮短響應(yīng)時間，并迅速遏制和根除攻擊。很多安全團隊也會將它用作警報過濾器，從數(shù)百萬個告警事件，篩選出少數(shù)需要立即處置的高危事件。APT-Hunter有兩個配套組件可以為用戶提供所需的數(shù)據(jù)，這個程序可用于加快Windows日志分析，但只能部分取代。

傳送門：

https://github.com/ahmedkhlief/APT-Hunter。

3、Attacker KB

每次當(dāng)新的漏洞時，企業(yè)的安全團隊都會急于了解：這個漏洞的覆蓋范圍有多廣?攻擊者或威脅分子會利用這個漏洞嗎?為了修復(fù)或緩解漏洞而放棄其他工作是否值得?在大多數(shù)情況下，安全專家會落后于黑客們掌握漏洞可以被利用的情形和性質(zhì)。Attacker KB的作用就是記錄、展示和匯總各大安全社區(qū)中關(guān)于漏洞利用的專業(yè)知識。

作為一種威脅搜尋解決方案，Attacker KB可以幫助安全分析師更好地了解漏洞，包括信息披露、技術(shù)評估、結(jié)果、可利用性和實際可用性等。這些信息讓安全分析師可以快速識別和排序最近漏洞和以往漏洞，并可以確定哪些漏洞可能已經(jīng)存在于本組織中。

傳送門：https://attackerkb.com/。

4、Automater

Automater是一款由TekDefense提供的威脅搜尋工具，可以分析URL、域和哈希，以簡化入侵分析。通過使用Automater，企業(yè)可以選定一些具體的目標(biāo)參數(shù)，并從廣泛的公開信息源收集相關(guān)信息。

Automater是一款用Python開發(fā)的工具，放在GitHub平臺上供人使用。它是免費開源的，可以通過GitHub訪問。Automate的交互界面非常友好，即使對初學(xué)者也可以快速掌握，不用修改Python代碼即可使用它。此外，用戶可以選擇自定義要檢查的信息源和信息類型。

分析師們還可以使用Automater針對IP地址、MD5哈希和域進行搜索，企業(yè)可以從一些值得信賴的網(wǎng)站獲取和Automater相關(guān)的工具，包括：Unshorten.me、Urlvoid.com、IPvoid.com、Robtex.com、Fortiguard.com、 Labs.alienvault.com、ThreatExpert、VxVault和VirusTotal。

傳送門：

https://github.com/1aN0rmus/TekDefense-Automater。

5、BotScout

BotScout是一款可以防止機器人程序在網(wǎng)站上填寫惡意表單、發(fā)送垃圾郵件以及注冊論壇的威脅搜尋工具。這款工具可以跟蹤機器人程序的名稱、IP地址和電子郵件地址，并將它們作為關(guān)鍵特征來存儲和記錄。用戶可以通過APP來查詢由BotScout提供的特征數(shù)據(jù)，并評估提交到互聯(lián)網(wǎng)上的表單是否安全。

除了手動搜索BotScout數(shù)據(jù)庫查找論壇上的機器人程序外，用戶還可以使用聯(lián)系表單或其他Web應(yīng)用程序來測試機器人程序，并根據(jù)結(jié)果進行相關(guān)的后續(xù)操作。BotScout還可以提供定制化的反惡意機器人程序插件。該工具的典型用戶包括了甲骨文公司、德意志銀行、那不勒斯銀行、華盛頓大學(xué)和米蘭大學(xué)等。

傳送門：https://botscout.com/

6、CrowdFMS

CrowdFMS是一個收集和處理釣魚郵件信息樣本的自動化程序。一旦企業(yè)的員工收到惡意的釣魚郵件，就會自動觸發(fā)警報。通過使用專有的API架構(gòu)，CrowdFMS提供了一個框架，用于自動收集和處理來自VirusTotal的釣魚郵件樣本。當(dāng)框架下載最近的樣本后，針對用戶的惡意郵件和釣魚通知內(nèi)容就會被識別并觸發(fā)警報。用戶還可以通過CrowdFMS定制運行這些樣本的特定命令。

傳送門：

https://github.com/CrowdStrike/CrowdFMS。

7、Cuckoo Sandbox

Cuckoo Sandbox是一款分析惡意軟件的開源工具。它可以免費下載使用，但由于需要大量的依賴項支持，其安裝配置的難度較大。不過一旦成功安裝，它對使用者會大有幫助。

該工具可以分析各種惡意文件，包括可執(zhí)行文件、辦公文檔、PDF、電子郵件、腳本和網(wǎng)站。由于開源特性和可靠的模塊化設(shè)計，用戶可以根據(jù)實際需要來定制分析環(huán)境、數(shù)據(jù)處理和報告階段。

用戶可以在Windows、Linux、macOS和Android虛擬化環(huán)境下使用Cuckoo Sandbox來檢測惡意文件和網(wǎng)站。Volatility和YARA還允許針對受感染的虛擬化系統(tǒng)逐個進程地執(zhí)行復(fù)雜的內(nèi)存分析。

Cuckoo Sandbox有兩個重要的組成：首先，它是一個Linux Ubuntu主機，內(nèi)置了Windows 7系統(tǒng)?；赑ython的Cuckoo主軟件包被安裝在Ubuntu主機上，一并安裝的幾個依賴項經(jīng)配置后可充分利用Cuckoo的模塊化;此外，在Ubuntu主機上，安裝VirtualBox，并創(chuàng)建Windows 7客戶。Cuckoo代理可以安裝在Windows 7系統(tǒng)上，支持兩個設(shè)備之間的通信。

傳送門：

https://github.com/cuckoosandbox

8、DeepBlueCLI

DeepBlueCLI是一款由Eric Conrad開發(fā)的開源工具，可以在運行ELK(Elasticsearch、Logstash和Kibana)的Linux/Unix系統(tǒng)或Windows(PowerShell版本)系統(tǒng)上自動分析安全事件日志。

DeepBlueCLI能夠快速檢測Windows安全、系統(tǒng)、應(yīng)用程序、PowerShell和Sysmon日志中發(fā)現(xiàn)的特定事件。此外，DeepBlueCLI還可以快速處理保存或存檔的EVTX文件。盡管它查詢活動事件日志服務(wù)所需時間會稍長，但整體上還是很高效。

傳送門：

https://github.com/sans-blue-team/DeepBlueCLI。

9、CyberChef

CyberChef是由GCHQ開發(fā)的Web應(yīng)用程序，在行業(yè)中有“網(wǎng)絡(luò)瑞士軍刀”的美譽。它采用了Apache 2.0許可證，受到Crown Copyright版權(quán)的保護。

用戶可以在網(wǎng)絡(luò)瀏覽器中直接使用CyberChef，進行創(chuàng)建二進制和十六進制轉(zhuǎn)儲、壓縮/解壓縮數(shù)據(jù)、計算哈希和校驗和、解析IPv6和X.509以及更改字符編碼的操作，同時還包括進行XOR和Base64編碼。

借助該程序，安全分析師能夠以一種非常簡單的方式修改和使用數(shù)據(jù)，對數(shù)據(jù)執(zhí)行編碼、解碼、格式化、par、壓縮和提取等操作，還可以執(zhí)行大規(guī)模的數(shù)學(xué)運算。

傳送門：

https://github.com/gchq/CyberChef。

10、Phishing Catcher

Phishing Catcher主要通過檢查提交到證書透明度日志(CTL)的可疑TLS證書信息來發(fā)現(xiàn)潛在的釣魚和網(wǎng)絡(luò)欺詐活動。其最重要的優(yōu)點是幾乎實時運行。由于它是通過Python編寫，并使用YAML進行配置，所以還非常易于使用。

據(jù)GitHub顯示，Phishing Catcher可以使用YAML配置文件來進行使用策略配置，用戶也可以下載并執(zhí)行默認(rèn)配置來實現(xiàn)快速部署。不過從安全方面考慮，建議企業(yè)用戶盡快調(diào)整默認(rèn)配置。在macOS系統(tǒng)下，Phishing Catcher的安裝可能有難度，企業(yè)可以考慮對該工具進行容器化處理。

傳送門：

https://github.com/x0rz/phishing_catcher。

參考鏈接：

https://heimdalsecurity.com/blog/10-free-open-source-threat-hunting-tools/。