惡意軟件分析、滲透測(cè)試、計(jì)算機(jī)取證——GitHub托管著一系列引人注目的安全工具、足以應(yīng)對(duì)各類規(guī)模下計(jì)算環(huán)境的實(shí)際需求。

GitHub上的十一款熱門開源安全工具

作為開源開發(fā)領(lǐng)域的基石，“所有漏洞皆屬淺表”已經(jīng)成為一條著名的原則甚至是信條。作為廣為人知的Linus定律，當(dāng)討論開源模式在安全方面的優(yōu)勢(shì)時(shí)，開放代碼能夠提高項(xiàng)目漏洞檢測(cè)效率的理論也被IT專業(yè)人士們所普遍接受。

現(xiàn)在，隨著GitHub等高人氣代碼共享站點(diǎn)的相繼涌現(xiàn)，整個(gè)開源行業(yè)開始越來越多地幫助其它企業(yè)保護(hù)自己的代碼與系統(tǒng)，并為其提供多種多樣的安全工具與框架，旨在完成惡意軟件分析、滲透測(cè)試、計(jì)算機(jī)取證以及其它同類任務(wù)。

以下十一個(gè)基本安全項(xiàng)目全部立足于GitHub。任何一位對(duì)安全代碼及系統(tǒng)抱有興趣的管理員都有必要對(duì)它們加以關(guān)注。

Metasploit框架

作為由開源社區(qū)及安全企業(yè)Rapid7一手推動(dòng)的項(xiàng)目，Metasploit框架是一套專門用于滲透測(cè)試的漏洞開發(fā)與交付系統(tǒng)。它的作用類似于一套漏洞庫(kù)，能夠幫助管理人員通過定位弱點(diǎn)實(shí)現(xiàn)應(yīng)用程序的安全性評(píng)估，并在攻擊者發(fā)現(xiàn)這些弱點(diǎn)之前采取補(bǔ)救措施。它能夠被用于對(duì)Windows、Linux、Mac、Android、iOS以及其它多種系統(tǒng)平臺(tái)進(jìn)行測(cè)試。

“Metasploit為安全研究人員提供了一種途徑，能夠以相對(duì)普遍的格式對(duì)安全漏洞加以表達(dá)，”Rapid7公司工程技術(shù)經(jīng)理Tod Beardsley指出。“我們針對(duì)全部設(shè)備類型打造出數(shù)千種模塊——包括普通計(jì)算機(jī)、手機(jī)、路由器、交換機(jī)、工業(yè)控制系統(tǒng)以及嵌入式設(shè)備。我?guī)缀跸氩怀鲇心姆N軟件或者固件無法發(fā)揮Metasploit的出色實(shí)用性。”

項(xiàng)目鏈接：https://github.com/rapid7/metasploit-framework

Brakeman

Brakeman是一款專門面向Ruby on Rails應(yīng)用程序的漏洞掃描工具，同時(shí)也針對(duì)程序中一部分?jǐn)?shù)值向另一部分傳遞的流程執(zhí)行數(shù)據(jù)流分析。用戶無需安裝整套應(yīng)用程序堆棧即可使用該軟件，Brakeman締造者兼維護(hù)者Justin Collins解釋道。

盡管速度表現(xiàn)還稱不上無與倫比，但Brakeman在大型應(yīng)用程序掃描方面只需數(shù)分鐘、這樣的成績(jī)已經(jīng)超越了“黑盒”掃描工具。雖然最近已經(jīng)有針對(duì)性地作出了修復(fù)，但用戶在使用Brakeman時(shí)仍然需要留意誤報(bào)狀況。Brakeman應(yīng)該被用于充當(dāng)網(wǎng)站安全掃描工具。Collins目前還沒有將其拓展至其它平臺(tái)的計(jì)劃，不過他鼓勵(lì)其他開發(fā)人員對(duì)項(xiàng)目代碼作出改進(jìn)。

項(xiàng)目鏈接：https://github.com/presidentbeef/brakeman

Cuckoo Sandbox

Cuckoo Sandbox是一款自動(dòng)化動(dòng)態(tài)惡意軟件分析系統(tǒng)，專門用于檢查孤立環(huán)境當(dāng)中的可疑文件。

“這套解決方案的主要目的是在啟動(dòng)于Windows虛擬機(jī)環(huán)境下之后，自動(dòng)執(zhí)行并監(jiān)控任何給定惡意軟件的異常活動(dòng)。當(dāng)執(zhí)行流程結(jié)束之后，Cuckoo會(huì)進(jìn)一步分析收集到的數(shù)據(jù)并生成一份綜合性報(bào)告，用于解釋惡意軟件的具體破壞能力，”項(xiàng)目創(chuàng)始人Claudio Guarnieri表示。

Cuckoo所造成的數(shù)據(jù)包括本地功能與Windows API調(diào)用追蹤、被創(chuàng)建及被刪除的文件副本以及分析機(jī)內(nèi)存轉(zhuǎn)儲(chǔ)數(shù)據(jù)。用戶可以對(duì)該項(xiàng)目的處理與報(bào)告機(jī)制進(jìn)行定制，從而將報(bào)告內(nèi)容生成為不同格式，包括JSON與HTML。Cuckoo Sandbox已經(jīng)于2010年開始成為谷歌代碼之夏中的項(xiàng)目之一。

項(xiàng)目鏈接：https://github.com/cuckoobox/cuckoo

Moloch

Moloch是一套可擴(kuò)展式IPv4數(shù)據(jù)包捕捉、索引與數(shù)據(jù)庫(kù)系統(tǒng)，能夠作為簡(jiǎn)單的Web界面實(shí)現(xiàn)瀏覽、搜索與導(dǎo)出功能。它借助HTTPS與HTTP機(jī)制實(shí)現(xiàn)密碼支持或者前端Apahce能力，而且無需取代原有IDS引擎。

該軟件能夠存儲(chǔ)并檢索標(biāo)準(zhǔn)PCAP格式下的所有網(wǎng)絡(luò)流量，并能夠被部署到多種系統(tǒng)之上、每秒流量處理能力也可擴(kuò)展至數(shù)GB水平。項(xiàng)目組件包括捕捉、執(zhí)行單線程C語言應(yīng)用程序、用戶也可以在每臺(tái)設(shè)備上運(yùn)行多個(gè)捕捉進(jìn)程;一套查看器，這實(shí)際是款Node.js應(yīng)用程序、針對(duì)Web接口以及PCAP文件傳輸;而Elasticsearch數(shù)據(jù)庫(kù)技術(shù)則負(fù)責(zé)搜索類任務(wù)。

項(xiàng)目鏈接：https://github.com/aol/moloch

MozDef: Mozilla防御平臺(tái)

這款Mozilla防御平臺(tái)，也就是MozDef，旨在以自動(dòng)化方式處理安全事件流程，從而為防御者帶來與攻擊者相對(duì)等的能力：一套實(shí)時(shí)集成化平臺(tái)，能夠?qū)崿F(xiàn)監(jiān)控、反應(yīng)、協(xié)作并改進(jìn)相關(guān)保護(hù)功能，該項(xiàng)目締造者Jeff Bryner解釋稱。

MozDef對(duì)傳統(tǒng)SEIM（即安全信息與事件管理）功能作出擴(kuò)展，使其具備了協(xié)同事件響應(yīng)、可視化以及易于集成至其它企業(yè)級(jí)系統(tǒng)的能力，Bryner指出。它采用Elasticsearch、Meteor以及MongoDB收集大量不同類型的數(shù)據(jù)，并能夠根據(jù)用戶需求以任意方式加以保存。“大家可以將MozDef視為一套立足于Elasticsearch之上的SIEM層，能夠帶來安全事件響應(yīng)任務(wù)流程，”Bryner表示。該項(xiàng)目于2013年在Mozilla公司內(nèi)部開始進(jìn)行概念驗(yàn)證。

項(xiàng)目鏈接：https://github.com/jeffbryner/MozDef

MIDAS

作為由Etsy與Facebook雙方安全團(tuán)隊(duì)協(xié)作打造的產(chǎn)物，MIDAS是一套專門針對(duì)Mac設(shè)備的入侵檢測(cè)分析系統(tǒng)框架（即Mac intrusion detection analysis systems，縮寫為MIDASes）。這套模塊框架提供輔助工具及示例模型，能夠?qū)S X系統(tǒng)駐留機(jī)制中出現(xiàn)的修改活動(dòng)進(jìn)行檢測(cè)。該項(xiàng)目基于《自制防御安全》與《攻擊驅(qū)動(dòng)防御》兩份報(bào)告所闡述的相關(guān)概念。

“我們發(fā)布這套框架的共同目標(biāo)在于促進(jìn)這一領(lǐng)域的探討熱情，并為企業(yè)用戶提供解決方案雛形、從而對(duì)OS X終端當(dāng)中常見的漏洞利用與駐留模式加以檢測(cè)，”Etsy與Facebook雙方安全團(tuán)隊(duì)在一份說明文檔中指出。MIDAS用戶能夠?qū)δK的主機(jī)檢查、驗(yàn)證、分析以及其它針對(duì)性操作進(jìn)行定義。

項(xiàng)目鏈接：https://github.com/etsy/MIDAS

Bro

Bro網(wǎng)絡(luò)分析框架“與大多數(shù)人所熟知的入侵檢測(cè)機(jī)制存在著本質(zhì)區(qū)別，”Bro項(xiàng)目首席開發(fā)者兼加州伯克利大學(xué)國(guó)際計(jì)算機(jī)科學(xué)協(xié)會(huì)高級(jí)研究員Robin Sommer指出。

盡管入侵檢測(cè)系統(tǒng)通常能夠切實(shí)匹配當(dāng)前存在的各類攻擊模式，但Bro是一種真正的編程語言，這使其相較于那些典型系統(tǒng)更為強(qiáng)大，Sommer表示。它能夠幫助用戶立足于高語義層級(jí)執(zhí)行任務(wù)規(guī)劃。

Bro的目標(biāo)在于搜尋攻擊活動(dòng)并提供其背景信息與使用模式。它能夠?qū)⒕W(wǎng)絡(luò)中的各設(shè)備整理為可視化圖形、深入網(wǎng)絡(luò)流量當(dāng)中并檢查網(wǎng)絡(luò)數(shù)據(jù)包;它還提供一套更具通用性的流量分析平臺(tái)。

項(xiàng)目鏈接：https://github.com/bro/bro

OS X Auditor

OS X Auditor是一款免費(fèi)計(jì)算機(jī)取證工具，能夠?qū)\(yùn)行系統(tǒng)之上或者需要分析的目標(biāo)系統(tǒng)副本當(dāng)中的偽跡進(jìn)行解析與散列處理。包括內(nèi)核擴(kuò)展、系統(tǒng)與第三方代理及后臺(tái)程序、不適用的系統(tǒng)以及第三方啟動(dòng)項(xiàng)、用戶下載文件外中已安裝代理。用戶的受隔離文件則可以提取自Safari歷史記錄、火狐瀏覽器cookies、Chrome歷史記錄、社交與郵件賬戶以及受審計(jì)系統(tǒng)中的Wi-Fi訪問點(diǎn)。

項(xiàng)目鏈接：https://github.com/jipegit/OSXAuditor

The Sleuth Kit

The Sleuth Kit是一套庫(kù)與多種命令行工具集合，旨在調(diào)查磁盤鏡像，包括各分卷與文件系統(tǒng)數(shù)據(jù)。該套件還提供一款插件框架，允許用戶添加更多模塊以分析文件內(nèi)容并建立自動(dòng)化系統(tǒng)。

作為針對(duì)微軟及Unix系統(tǒng)的工具組合，Sleuth Kit允許調(diào)查人員從鏡像當(dāng)中識(shí)別并恢復(fù)出事件響應(yīng)過程中或者自生系統(tǒng)內(nèi)的各類證據(jù)。在Sleuth Kit及其它工具之上充當(dāng)用戶界面方案的是Autopsy，這是一套數(shù)字化取證平臺(tái)。“Autopsy更側(cè)重于面向用戶，”Sleuth Kit與Autopsy締造者Brian Carrier指出。“The Sleuth Kit更像是一整套能夠?yàn)榇蠹壹{入自有工具的庫(kù)，只不過用戶無需對(duì)該訓(xùn)加以直接使用。”

項(xiàng)目鏈接：https://github.com/sleuthkit/sleuthkit

OSSEC

基于主機(jī)的入侵檢測(cè)系統(tǒng)OSSEC能夠?qū)崿F(xiàn)日志分析、文件完整性檢查、監(jiān)控以及報(bào)警等功能，而且能夠順利與各種常見操作系統(tǒng)相對(duì)接，包括Linux、Mac OS X、Solaris、AIX以及Windows。

OSSEC旨在幫助企業(yè)用戶滿足合規(guī)性方面的各類要求，包括PCI與HIPAA，而且能夠通過配置在其檢測(cè)到未經(jīng)授權(quán)的文件系統(tǒng)修改或者嵌入至軟件及定制應(yīng)用日志文件的惡意活動(dòng)時(shí)發(fā)出警報(bào)。一臺(tái)中央管理服務(wù)器負(fù)責(zé)執(zhí)行不同操作系統(tǒng)之間的策略管理任務(wù)。OSSEC項(xiàng)目由Trend Micro公司提供支持。

項(xiàng)目鏈接：https://github.com/ossec/ossec-hids

PassiveDNS

PassiveDNS能夠以被動(dòng)方式收集DNS記錄，從而實(shí)現(xiàn)事故處理輔助、網(wǎng)絡(luò)安全監(jiān)控以及數(shù)字取證等功能。該軟件能夠通過配置讀取pcap（即數(shù)據(jù)包捕捉）文件并將DNS數(shù)據(jù)輸出為日志文件或者提取來自特定接口的數(shù)據(jù)流量。

這款工具能夠作用于IPv4與IPv6流量、在TCP與UDP基礎(chǔ)上實(shí)現(xiàn)流量解析并通過緩存內(nèi)存內(nèi)DNS數(shù)據(jù)副本的方式在限制記錄數(shù)據(jù)量的同時(shí)避免給取證工作帶來任何負(fù)面影響。

項(xiàng)目鏈接：https://github.com/gamelinux/passivedns

英文原文：http://www.infoworld.com/slideshow/163151/11-open-source-security-tools-catching-fire-github-249652