最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

CISA 发布开源“RedEye”C2日志可视化工具

网络安全 快米云 来源:快米云 283浏览

CISA 发布开源“RedEye”C2 日志可视化工具

美国网络安全和基础设施安全 (CISA) 机构宣布推出 RedEye,这是一种开源分析工具,供运营商可视化和报告指挥和控制 (C2) 活动。

RedEye 适用于红队和蓝队,提供了一种简单的方法来衡量导致实际决策的数据。

评估攻击活动

作为 CISA 和 DOE 太平洋西北国家实验室的一个联合项目,RedEye 可以解析来自攻击框架(例如 Cobalt Strike)的日志,以更易于理解的格式呈现复杂数据。

该工具允许用户上传活动数据以查看信标和命令等相关信息。

CISA RedEye 工具中的广告系列上传功能
RedEye 工具 – 活动数据上传

加载到 RedEye 中的每个活动日志的历史记录可以通过关联服务器和主机的图形表示来查看。

CISA RedEye 工具中的活动可视化
RedEye 工具 – 活动可视化

分析师还可以探索选定活动中的关键事件,以发现有效负载活动并跟踪攻击者的渗透路径,例如横向移动活动或使用凭证来增加机器上的权限。

在 CISA 的 RedEye 工具中探索活动
RedEye 工具 – 广告系列回放

RedEye 中的可用功能允许分析师评论攻击者的活动,以便更好地协作和了解攻击路径。

CISA 的 RedEye 工具中的评论支持
RedEye 工具 – 评论和标签功能

使用分析师的评论和活动中使用的技术,RedEye 还可以生成可以与利益相关者和客户共享的演示文稿。

从活动收集的所有数据和分析师的评论都可以导出,以便客户查看

蓝队还可以使用 RedEye 更轻松地了解从评估中收到的原始数据,并查看攻击路径和受感染的主机,以便他们采取适当的行动。

使用 CISA 的 RedEye 工具生成攻击活动演示文稿
RedEye 工具 – 生成演示文稿

目前,RedEye 可以解析来自 Cobalt Strike 框架的日志。

它已经过测试,可以在 Linux(Ubuntu 18 及更高版本、Kali Linux 2020.1 或更高版本)、macOS(El Capitan 及更高版本)和 Windows 7 或更高版本上运行。

工具可在 GitHub 上的 CISA 存储库中获得。

CISA 还发布了一段视频,如下所示,介绍了 RedEye 中可用的主要功能:

RedEye 是 CISA 在过去几年中作为开源项目发布的一组工具中的最新一个。

其中包括Malcom – 一种网络流量分析工具,  ICS NPP – 一种用于解析工业控制系统网络协议的工具,Sparrow – 一种 PowerShell 脚本,用于检测 Azure 和 Microsoft 365 环境中可能受到损害的帐户和应用程序。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » CISA 发布开源“RedEye”C2日志可视化工具