Attack Monitor, détection d'infection et analyse de malwares

Qu'est-ce qu'Attack Monitor ?

Attack Monitor est une application Python conçue pour améliorer les capacités de surveillance de la sécurité des stations de travail / serveurs Windows 7/2008 (et toutes les versions ultérieures) et pour automatiser l'analyse dynamique des logiciels malveillants.

nodes actuels (s'excluent mutuellement):

• Détection Endpoint
• Analyse de Malware (sous une VM dédiée)

Basé sur les évènement suivants:

• Journaux d'événements Windows
• Sysmon
• Watchdog (librairie Pyhton de surveillance du système de fichiers)
• TShark (seulement en mode analyse de malware)

Version actuelle

0.9.0 (Alpha)

Contact

attack.monitor.github@gmail.com

Démonstration

Systèmes d'exploitations supportés

• Windows 7, 8, 10 (x86 ou x64)
• Windows 2008, 2012, 2016 (x86 ou x64)

Prérequis

• Powershell 5
• Sysmon (téléchargé, configuré et installé par installer.py)
• Python 3.6 (64-bit) - devrait fonctionner sous Python 3.x
• Tshark (seulement en mode analyse de malware)
• Diverses librairies Python3 (requirements.txt)
• StoneEngine library (inclue, première fois publiée, interface de journal des événements Windows de haut niveau - mode Alpha)

Événements système pris en charge

Certains événements ne sont pris en charge qu'en mode d'analyse des logiciels malveillants.

• Changement du système de fichiers
• Connexions réseaux autorisées
• Activité en PowerShell (détaillé seulement avec PowerShell 5)
• Création de Process
• Activité SMB
• Tâches planifiées
• Manipulations de comptes locaux
• Authentifications réussiées/échouées
• Chargement de drivers en mémoire
• Accès au disques en mode Raw
• Surveillance de la base de registes
• Évènements de Pipe
• Services
• Effacement des logs d'audit
• Surveillance des requêtes WMI + persistance WMI
• Capture des requêtes DNS (avec Tshark)

Installation - Mode Détection Endpoint

Pour le mode d’analyse des logiciels malveillants, reportez-vous à la section suivante.

ETAPES:
<Télécharger la dernière version>
cmd.exe (Exécuter en administrateur)
pip3 install -U -r requirements.txt
python installer.py sysmon
=> Choisir le mode de détection endpoint
python installer.py psaudit
python installer.py auditpol
python installer.py install
=> Choisir le mode de détection endpoint
python installer.py exceptions
[Apply section] Installation - How to enable WMI audit?


Installation - Mode analyse de Malware

Pour le mode de détection Endpoint, reportez-vous à la section précédente

ETAPES:
<Télécharger la dernière version>
cmd.exe (Exécuter en administrateur)
pip3 install -U -r requirements.txt
python installer.py sysmon
=> Choisir le mode d'analyse de malware
python installer.py psaudit
python installer.py auditpol
python installer.py install
=> Choisir le mode d'analyse de malware
[Installer tshark] https://www.wireshark.org/download.html // Dans son répertoire par défaut
[Apply section] Installation - How to choose network interface for malware listening? // (actuellement seulement le DNS)
[Apply section] Installation - How to enable WMI audit?
[Apply section] Installation - How to monitor specific directories?


Installation - Comment activer l'audit WMI ?

compmgmt.msc
Services and Applications -> WMI Control -> Properties
Security -> Security -> Advanced -> Auditing -> Add

Select principal: Everyone
Type: All
Show advanced permissions:
Select all (Execute Methods ... Edit Security)

Pourquoi n'est-ce pas dans le script installer.py ? C'est dur de le faire en programmation

Installation - Comment choisir l'interface réseau pour écoute du programme malveillant ?

Editer C:\Program Files\Attack Monitor\config\attack_monitor.cfg
Changer dans la section [feeder_network_tshark]:
network_interface=METTRE VOTRE INTERFACE ICI # sans espace
Comment connaitre le nom de l'interface ?
TShark utilise le nom de Control Panel\Network and Internet\Network Connections (Changer les propriétés)
ex : nom: WiFi AC => Définir un nouveau nom par exemple exemple nom: Ethernet0

Installation - Comment surveiller des répertories spécifiques ?

Editet C:\Program Files\Attack Monitor\config\monitored_directories.json
Pour l'analyse des programmes malveillants, il est recommandé de surveiller tous les événements (sauf dir_modified) pour le répertoire C: avec l'indicateur récursif activé. Ajoutez également des répertoires supplémentaires, le cas échéant.

Comment ça fonctionne ?

Une alerte apparait, provenant d'une source (Journaux d'évènement Windows, Sysmon, changement du système de fichiers, TShark)

L'alerte est comparée à config\exceptions\exception.json qui contient toutes les alertes à ignorer
A) Pour la détection Endpoint - Un ensemble prédéfini d'alertes ignorées est livré avec le logiciel
B) Pour l'analyse de malware - vous devez ajouter vous-même des exceptions sur le système quand il n'est pas encore infecté

L'alerte est présente dans exception.json ?
Oui) on l'ignore [retour à l'étape 1]
Non) Aller à l'étape suivante

Le mode d'apprentissage est-il activé? (Peut être activé dans l'icône de la barre des tâches ou de manière permanente dans le fichier de configuration)
Oui) Une fenêtre d'alerte vous demande si vous souhaitez ignorer cette alerte, si oui quels champs doivent correspondre pour que l'événement soit ignoré? (comparaison simple, sous-chaîne, regex)

• Si vous avez décidé d'ajouter une exception à cette alerte, une alerte est ajoutée aux exceptions. [retour à l'étape 1]
• Si vous avez décidé d'ignorer la fenêtre d'exception - Aller à l'étape suivante

Non) Aller à l'étape suivante

Alerte l'utilisateur sur l'événement de capture. Le résultat :

• Notification par bulle dans la barre des tâches (uniquement lorsque vous déplacez la souris et que l'ordinateur n'est pas verrouillé)
• L'alerte est sauvegardée dans logs.txt

Bugs connus

• L'arrêt du programme n'est pas très propre
• L’icône dans la barre des tâches apparaît puis disparaît

Téléchargement

Télécharger Attack Monitor