Hoy extraemos de Blue Teams Academy un listado de las 20 herramientas open source que todo blue teamer debería tener en su arsenal. ¿Echáis en falta alguna otra top? ¡Comenta!
The Hive
TheHive es una plataforma de respuesta a incidentes gratuita y de código abierto escalable y 4-en-1 diseñada para facilitar la vida de los SOC, CSIRT, CERT y cualquier profesional de la seguridad de la información que se enfrente a incidentes de seguridad que deban investigarse y actuar rápidamente. Gracias a Cortex, el potente motor de análisis gratuito y de código abierto, puede analizar (y clasificar) observables de forma escalable y utilizando más de 100 analizadores.
Sitio web oficial: https://thehive-project.org
OSSIM
OSSIM es un sistema de gestión de eventos e información de seguridad (SIEM) de código abierto. Fue desarrollado en 2003. El proyecto fue adquirido posteriormente por AT&T.
Puedes descargarlo desde aquí: https://cybersecurity.att.com/products/ossim
The HELK
Si te gusta el threat hunting, probablemente hayas oído hablar del proyecto HELK. HELK fue desarrollado por Roberto Rodríguez (Cyb3rWard0g) bajo licencia GPL v3. El proyecto se creó en base a la pila ELK además de otras herramientas útiles como Spark, Kafka, etc.
Su sitio web oficial: Cyb3rWard0g/HELK: The Hunting ELK - GitHub
Nmap
Después de recopilar información sobre un objetivo, se debe pasar a otro paso que es escanear puertos. Practicamente cualquiera debería tener Nmap en su arsenal. Nmap (la abreviatura de Network mapper) es el escáner de red más potente y utilizado. Es gratuito y de código abierto. Nos brinda la capacidad de realizar diferentes tipos de escaneos de red además de otras capacidades gracias a sus scripts nse que además podemos ampliar con los propios nuestros.
Podemos descargarlo desde aquí: https://nmap.org/download.html
Volatility
El análisis de malware en memoria se usa ampliamente para la investigación digital y el análisis de malware. Se refiere al acto de analizar una imagen de memoria volcada de una máquina objetivo después de ejecutar el malware para obtener múltiples caracterísitcas de los artefactos, incluida información de red, procesos en ejecución, enlaces API, módulos cargados del kernel, historial de Bash, etc. Es un proyecto de código abierto desarrollado por Volatility Foundation. Se puede ejecutar en Windows, Linux y MacOS. Volatility admite diferentes formatos de volcado de memoria, incluidos dd, formato Lime, EWF y muchos otros archivos.
Podemos descargar Volatility desde aquí: https://github.com/volatilityfoundation/volatility
Demisto Community Edition
Security Orchestration, Automation and Response o simplemente SOAR son plataformas y herramientas muy efectivas para evitar la fatiga de los analistas al automatizar muchas tareas de seguridad repetitivas. Una de las plataformas más conocidas es Demisto. La plataforma también ofrece muchos playbooks gratuitos.
Podemos descargar la edición comunidad desde aquí: https://www.demisto.com/community/
Wireshark
La herramienta más adecuada para monitorizar la red es definitivamente Wireshark. Wireshark es una herramienta gratuita y de código abierto que nos ayudará a analizar protocolos de red con capacidades de deep inspection. Brinda la capacidad de realizar capturas de paquetes online o análisis fuera de línea. Es compatible con muchos sistemas operativos, incluidos Windows, Linux, MacOS, FreeBSD y muchos más.
Podemos descargarla desde aquí:: https://www.wireshark.org/download.html
Atomic Red Team
Atomic Red Team permite que cada equipo de seguridad pruebe sus controles mediante la ejecución de "pruebas atómicas" sencillas que ejercen las mismas técnicas utilizadas por los adversarios (todas mapeadas al framework ATT&CK de Mitre)
Su sitio web oficial:https://github.com/redcanaryco/atomic-red-team
Caldera
Suricata
Los sistemas de detección de intrusos son un conjunto de dispositivos o piezas de software que juegan un papel muy importante en las organizaciones modernas para defenderse de intrusiones y actividades maliciosas. La función de los sistemas de detección de intrusos en red es detectar anomalías en la red al monitorizar el tráfico entrante y saliente. Uno de los IDS más utilizados es Suricata. Suricata es un IDS/IPS de código abierto desarrollado por la Open Information Security Foundation (OISF)
Su sitio web oficial: https://suricata-ids.org
Zeek (formalmente Bro IDS)
Zeek es uno de los NIDS más populares y potentes. Zeek fue conocido antes por Bro. Esta plataforma de análisis de red está respaldada por una gran comunidad de expertos. Por lo tanto, su documentación es muy detallada y buena.
Su sitio web oficial: https://www.zeek.org
OSSEC
OSSEC es un potente sistema de detección de intrusos basado en host. Proporciona detección de intrusos basada en registros (LID), detección de rootkits y malware, auditoría de cumplimiento, monitorización de integridad de archivos (FIM) y muchas otras capacidades.
Su sitio web oficial:https://www.ossec.net
OSQuery
OSQuery es un framework que es compatible con muchos sistemas operativos para realizar análisis y monitorización del sistema mediante consultas simples. Utiliza consultas SQL.
Su sitio web oficial:https://www.osquery.io
AccessData FTK Imager
Las imágenes forenses son una tarea muy importante en el análisis forense digital. La generación de imágenes consiste en copiar los datos con cuidado para garantizar su integridad y sin omitir un archivo porque es muy importante proteger la evidencia y asegurarse de que se maneje correctamente. Es por eso que existe una diferencia entre la copia normal de archivos y la creación de imágenes. Las imágenes capturan todo el disco. Al crear una imagen de la unidad, el analista crea una imagen de todo el volumen físico, incluido el registro de arranque maestro. Una de las herramientas utilizadas es "AccessData FTK Imager".
Su sitio web oficial: https://accessdata.com/product-download/ftk-imager-version-4-2-0
Cuckoo
El análisis de malware es el arte de determinar la funcionalidad, el origen y el impacto potencial de una muestra de malware determinada, como un virus, un gusano, un troyano, un rootkit o una puerta trasera. Como analista de malware, nuestra función principal es recopilar toda la información sobre el software malicioso y tener una buena comprensión de lo que sucedió con las máquinas infectadas. El sandbox de malware más conocido es cuckoo.
Su sitio web oficial:https://cuckoo.sh/blog/
CAPE
Me he tomado la licencia de añadir a CAPE (Configuration And Payload Extraction) de nuestro amigo Andriy y Kevin para completar la lista de 20 herramientas... Es otra sandbox que se derivó de Cuckoo con el objetivo de agregar el desempaquetado automatizado de malware y la extracción de configuración. El desempaquetado automatizado permite la clasificación basada en las firmas de Yara para complementar las firmas de red (Suricata) y de comportamiento (API). Hay una instancia de comunidad gratuita en línea que cualquiera puede usar: https://capesandbox.com
Repositorio: https://github.com/kevoreilly/CAPEv2
MISP
Malware Information Sharing Platform o simplemente MISP es una plataforma de threat sharing de código abierto donde los analistas colaboran y comparten información sobre las últimas amenazas entre ellos. El proyecto fue desarrollado por Christophe Vandeplas y está bajo licencia GPL v3.
Su sitio web oficial:https://www.misp-project.org
Ghidra
Otra gran herramienta de ingeniería inversa es Ghidra. Este proyecto es de código abierto y lo mantiene la NSA. Ghidra brinda la capacidad de analizar diferentes formatos de archivo. Es compatible con Windows, Linux y MacOS. Necesitamos instalar Java para poder ejecutarlo. El proyecto viene con mucha documentación y cheatsheets. Además, nos da la posibilidad de desarrollar nuestros propios complementos utilizando Java o Python.
Su web oficial es: http://ghidra-sre.org
Snort
Otro potente sistema de detección de intrusos basado en la red es Snort. El proyecto está muy desarrollado, bien documentado y cuenta con el respaldo de Cisco y una gran comunidad de expertos en seguridad de redes.
Su sitio web oficial: https://www.snort.org
Security Onion
Si está buscando un sistema operativo listo para usar que contenga muchas de las herramientas mostradass anteriormente, simplemente puedes descargar Security Onion. IT es una distribución de Linux gratuita y de código abierto para la detección de intrusos, la supervisión de la seguridad empresarial y la gestión de logs.
Su sitio web oficial: https://github.com/Security-Onion-Solutions/securityonion/
Gracias por compartir, como siempre, los artículos que con más ganas leo en internet.
ResponderEliminarPor comentar, snort aparte de la gran comunidad detrás también esta cisco, que mantiene y apoya el proyecto.
Security onion enlace de la version 2
https://github.com/Security-Onion-Solutions/securityonion/
Lo voy a probar estos días a ver que tal va.