使用RITA进行C2威胁狩猎
RITA(Real Intelligence Threat Analytics)是一款用于网络安全分析和威胁检测的开源工具。它收集、解析和分析网络流量数据,提供对网络活动的洞察,并允许安全专业人员检测和应对安全事件。RITA 提供实时警报,并允许用户执行网络取证和事件响应任务。
该框架以 TSV 格式接收 Zeek Logs,目前支持以下主要功能:
- 信标检测 :搜索网络内外信标行为的迹象。
- DNS 隧道检测 :搜索基于 DNS 的隐蔽通道的迹象。
- 黑名单检查 :查询黑名单以搜索可疑域和主机。
- URL 长度分析 :搜索表明恶意软件的过长 URL。
- 扫描检测 :搜索网络中端口扫描的迹象。