Este tema trata sobre otro proyecto de seguridad de código abierto "Maltrail" . Es un sistema de detección de tráfico malicioso que utiliza la lista de spam/listas negras disponibles públicamente de pistas maliciosas y sospechosas. También utiliza los rastros estáticos de varios informes de antivirus y listas personalizadas definidas por el usuario. Los dominios maliciosos de varios programas maliciosos, la URL de los ejecutables maliciosos conocidos y la dirección IP de los atacantes conocidos son pistas para este sistema. Tiene la capacidad de mecanismos heurísticos avanzados para el descubrimiento de amenazas desconocidas (por ejemplo, nuevo malware). La dirección de github del proyecto es: https://github.com/stamparm/maltrail/
La página de github muestra los recursos de listas negras (es decir, fuentes), entradas estáticas y rastros de varios C&C o sumideros de malware que se utilizan en este sistema de detección.
Arquitectura de implementación
Según la información proporcionada en el sitio del proyecto, el Maltrail se basa en el Tráfico ->
Los sensores son un componente/máquina independiente que se ejecuta en una plataforma Linux conectada de forma pasiva al SPAN/puerto de duplicación o de forma transparente en línea en un puente de Linux donde "supervisa" el tráfico que pasa en busca de elementos/pistas en la lista negra (es decir, nombres de dominio, URL y/o o IP). El detalle del evento se envía al servidor (central) en caso de una coincidencia positiva y se almacena dentro del directorio de registro apropiado. Si tanto el sensor como el servidor se ejecutan en la misma máquina (configuración predeterminada), los registros se almacenan directamente en el directorio de registro local. Todos los eventos o entradas de registro para el período elegido (24 horas) se transfieren al Cliente, la aplicación web de informes es responsable de la presentación de los eventos. En este artículo, Servidor y servidor los componentes se ejecutan en la misma máquina.
Requisitos
En este tutorial, Maltrail se instalará en una máquina virtual Ubuntu 18.04 LTS. Para ejecutar correctamente Maltrail , Python 2.7 se requiere con pcapy paquete. No hay otros requisitos, aparte de ejecutar "Sensor y servidor" componente con los privilegios de root. El siguiente comando instala el paquete python-pcapy en la máquina Ubuntu. También instalará las dependencias requeridas del paquete.
apt-get install git python-pcapy 
Se puede descargar desde el sitio web de Corsecuity e instalarse con el siguiente comando. Si el paquete "python-setuptools" está instalado, instálelo antes de instalar el paquete pcapy. El siguiente comando instala el paquete setuptools en la plataforma Ubuntu.
apt-get install python-setuptools
python setup.py install
Ejecución del sistema Maltrail
El siguiente comando descarga el paquete más reciente en la máquina Ubuntu y luego ejecuta scripts de python de servidor y sensor en la terminal
git clone https://github.com/stamparm/maltrail.git
cd maltrail/
Iniciar sensor Maltrail
El siguiente comando inicia el sensor en el terminal.
python sensor.py
Si la lista de Maltrail no se actualiza, se actualizará mientras se ejecuta el sensor en la máquina.
La captura de pantalla anterior muestra que el sensor se está ejecutando correctamente en la máquina.
Iniciar servidor Maltrail
Para iniciar el "Servidor" en la misma máquina, abra una nueva terminal y ejecute lo siguiente:
cd maltrail
python server.py
Como se muestra en la instantánea anterior, el servidor HTTP se ejecuta en el puerto 8338. El puerto 8338 debe estar permitido en el cortafuegos si se accede a la interfaz web detrás del cortafuegos.
Panel de control de Maltrail
Acceda a la interfaz de informes visitando http://local-p-ip:8338 (las credenciales predeterminadas son admin:changeme! saved in the maltrail.conf file ) desde su navegador web. Como se muestra a continuación, se le presentará al usuario la siguiente ventana de autenticación. Ingrese las credenciales admin:changeme! para entrar en el portal web del Matrail.
Una vez dentro del tablero, al usuario administrador se le presentará la siguiente interfaz de informes.
Prueba de Maltrail
El siguiente paso de prueba se da en el sitio del proyecto. La dirección IP "136.161.101.53 " es una dirección maliciosa, por lo que Maltrail la detecta y la muestra en el panel.
ping -c 5 136.161.101.53 
cat /var/log/maltrail/02-10-2018.log
Como se muestra a continuación, ambos ataques (hacer ping a una dirección IP maliciosa) también se muestran en la interfaz.
------------------------------------- --------------------------------------------------
La parte superior de la parte frontal contiene una línea de tiempo deslizante y se activa después de hacer clic en la etiqueta de fecha actual y/o el icono del calendario. La parte central contiene un resumen de los eventos mostrados. El cuadro Eventos representa el número total de eventos en un período de 24 horas seleccionado, donde los diferentes colores representan diferentes tipos de eventos, como eventos basados en IP, eventos basados en DNS y eventos basados en URL. Haga clic en las casillas para obtener más detalles de cada gráfico.
La parte inferior de la interfaz contiene una representación condensada de los eventos registrados en forma de tabla paginada.
La configuración de Maltrail Sensor/Server
La configuración del Sensor del sistema Maltrail está dentro del maltrail.conf sección del archivo [Sensor]. The configuration parameters are explained with comments. In this configuration file, user can define setting like update period of static feed, virtual or physical interface of the linux to run Maltrail system etc.
sección del sensor
------------------------------------- -------------------------------------------------
En la sección del servidor, un usuario puede definir el puerto de escucha y la dirección IP. El usuario puede habilitar el servicio SSL para proteger el tráfico web.
sección del servidor
Almacenamiento de registros
Todos los eventos detectados por los sensores de Maltrail se almacenan dentro del Servidor directorio de registro de ( opción LOG_DIR dentro del maltrail.conf sección del archivo para establecer la ruta del archivo). Todos los eventos detectados se almacenan con fecha.
barrido de puerto
También detecta demasiados intentos de conexión a determinados puertos TCP. El sistema Maltrail advierte contra posibles escaneos de puertos porque detecta mecanismos heurísticos.
Falsos positivos
Maltrail es propenso a "falsos positivos", como todas las demás soluciones de seguridad. En ese tipo de casos, Maltrail (especialmente en caso de suspicious) amenazas) registran el comportamiento de un usuario regular y lo marcan como malicioso y/o sospechoso. Al igual que el motor de búsqueda de Google, también escanea los dominios y la dirección IP. Por lo tanto, a veces la dirección IP legítima de Google se convierte en atacante debido a varios intentos en los dominios/direcciones IP legítimos.
Conclusión
Este artículo trata sobre el sistema de detección de tráfico malicioso "Maltrail", que detecta el tráfico utilizando fuentes estáticas y un mecanismo heurístico. Está desarrollado en Python y consta de dos componentes principales "sensor y servidor". Se puede ejecutar en una sola máquina y detectar tráfico en cualquier interfaz de la máquina. Es útil para proteger la red de los atacantes conocidos en Internet. Actualmente, solo admite la detección de tráfico. Sin embargo, se puede integrar con otras herramientas de código abierto para realizar el bloqueo de direcciones IP en el firewall de iptables.