Attack Monitor：一款功能强大的终端检测&恶意软件分析软件

工具介绍

Attack Monitor是一款Python应用程序，可以帮助安全研究人员增强Windows 7/2008（及所有更高版本）工作站或服务器的安全监控功能，并且能够自动对恶意软件进行动态分析。

当前模式

1、终端检测（ED）
2、恶意软件分析（须在特定虚拟机环境中执行）

支持事件

1、Windows事件日志
2、Sysmon
3、Watchdog（文件系统监控Python库）
4、TShark（仅支持恶意软件分析模式）

当前版本

Attack Monitor：v0.9.0（Alpha版本）

工具演示

支持的操作系统

1、Windows 7, 8, 10 (x86位或x64位)
2、Windows 2008, 2012, 2016 (x86位或x64位)

工具依赖组件

1、Powershell 5
2、Sysmon (通过installer.py下载、配置和安装)
3、Python 3.6 (64-bit) - 理论支持Python 3.x
4、Tshark (仅恶意软件分析)
5、各种Python3库 (requirements.txt)
6、StoneEngine 库(首次发布，高级Windows事件日志接口)

支持的系统事件

注意：其中部分事件仅支持恶意软件分析模式。

文件系统修改
允许的网络连接
PowerShell活动
进程创建
SMB活动
计划任务
本地帐号修改
驱动器加载
元磁盘访问
注册表监控
管道事件
服务监控
日志审计
WMI监控
DNS请求捕捉（通过Tshark）

工具安装-终端检测模式

首先，从本项目的GitHub库将项目源码克隆至本地：

git clone https://github.com/yarox24/attack_monitor.git

切换到本地项目目录，运行下列命令：

Download newest release>
    cmd.exe (Run as admin)
    pip3 install -U -r requirements.txt
    python installer.py sysmon
      => Choose endpoint detection mode
    python installer.py psaudit
    python installer.py auditpol
    python installer.py install
      => Choose endpoint detection mode
    python installer.py exceptions
    [Apply section] Installation - How to enable WMI audit?

工具安装-恶意软件分析模式

cmd.exe (Run as admin)
    pip3 install -U -r requirements.txt
    python installer.py sysmon
      => Choose malware analysis mode
    python installer.py psaudit
    python installer.py auditpol
    python installer.py install
      => Choose malware analysis mode
    [Install tshark] https://www.wireshark.org/download.html // To default location
    [Apply section] Installation - How to choose network interface for malware listening? // (currently only DNS)
    [Apply section] Installation - How to enable WMI audit?
    [Apply section] Installation - How to monitor specific directories?

如何启用WMI审计功能

compmgmt.msc
    Services and Applications -> WMI Control -> Properties
    Security -> Security -> Advanced -> Auditing -> Add
    Select principal: Everyone
    Type: All
    Show advanced permissions:
      Select all (Execute Methods ... Edit Security)

如何选择监听恶意软件的接口?

编辑“C:\Program Files\Attack Monitor\config\attack_monitor.cfg”文件，修改文件中的“ C:\Program Files\Attack Monitor\config\attack_monitor.cfg”参数。

如何判断接口名称？

TShark使用的名称来自于控制面板\网络和Internet\网络连接，默认名为Ethernet0。

如何指定监控目录？

编辑文件“ C:\Program Files\Attack Monitor\config\monitored_directories.json”，针对恶意软件分析，我们建议研究人员监控目录“C:\”下的所有事件，并添加额外的相关目录。

工作机制

1、通过监听事件源来发送警告（Windows事件日志、Sysmon、文件系统修改和TShark）
2、根据“config\exceptions\exception.json”的配置进行警报检测，该文件中包含所有警报信息。针对终端检测，需要用户自定义要忽略的警报。针对恶意软件分析，你需要针对目标系统添加例外情况。
3、如果exception.json文件中存在警告，则返回第一步，否则进行下一步。
4、学习模式是否启用？如果启用，工具则会弹出警告询问是否需要忽略这条警报，需依据正则表达式。
5、警告用户捕捉事件，并输出结果：
系统托盘气泡提醒。
警报信息将被保存在logs\.txt文件中。