Menu Zavrieť

Značka: Moloch

Prepojenie Moloch-Suricata

Prepojenie Moloch-Suricata

  • Autori : Tomáš Mokoš, Miroslav Kohútik

V tomto článku si ukážeme ako prepojiť nástroj na odchytávanie sieťovej prevádzky Moloch s nástrojom na detekciu narušenia bezpečnosti Suricata.

Návody na inštaláciu Molocha a Suricaty môžete nájsť tu a tu.

Nástroj Moloch archivuje sieťovú prevádzku, ku ktorej následne umožňuje rýchly a prehľadný prístup, avšak sám o sebe neposkytuje bezpečnostné opatrenia pre prevádzku, ktorú sleduje. Na druhej strane, IDS Suricata dozerá na sledovanú prevádzku a vytvára značky, ktoré informujú o bezpečnostných hrozbách, ale nedisponuje grafickým rozhraním na ich zobrazenie.

Od verzie 1.5 (vydanej 16.7.2018), Moloch podporuje plugin pre import alertov, ktoré generuje Suricata. Suricata spolu s Molochom musia byť spustené na tom istom zariadení. Dáta, ktoré vygenerovala Suricata sú prístupné vo webovom rozhraní Molocha v záložkách Sessions a SPI View. Všetky spojenia, ktoré obsahujú dáta Suricaty je možné nájsť dotazom suricata.signature == EXISTS! vo vyhľadávacom poli Molocha. Toto riešenie nezahŕňa žiadne špeciálne používateľské rozhranie pre Suricatu v Molochu, iba pridáva nové polia do dát vygenerovaných Molochom. Na pridanie pluginu je potrebné upraviť konfiguračný súbor Molocha, pridať v ňom suricata.so do zoznamu pluginov a špecifikovať cestu k súboru eve.json, do ktorého Suricata zapisuje alerty.

Do konfiguračného súboru Molocha, ktorý sa nachádza v /data/moloch/etc/config.ini pridáme nasledujúce riadky:

pluginsDir=/data/moloch/plugins
plugins= suricata.so;
suricataAlertFile=/usr/local/var/log/suricata/eve.json
suricataExpireMinutes=60

Následne nám v záložkách sessions a SPI view pribudne položka Suricata.
Suricata sessions

Suricata SPI View

Zdroj:

Moloch upgrade

Moloch Upgrade

  • Autori: Tomáš Mokoš, Miroslav Kohútik

Upgrade Molocha na najnovšiu verziu nie je možný z akejkoľvek verzie. Pri niektorých starších verziách vyžaduje postupnú inštaláciu novších verzií v presnom poradí.

Upgrade na Moloch 1.1.0

Najstaršia verzia Molocha, ktorú sme mali nasadenú bola verzia 0.50.
Upgrade Molocha z verzie 0.50 na verziu 1.0 a vyššie vyžaduje, vzhľadom na veľké zmeny vo verzii 1.0, reindexovanie všetkých session dát. Reindexovanie sa deje na pozadí  po upgrade a preto trvá iba chvíľu, kým je server znova online.

Medzi veľké zmeny patria najmä:

  • Všetky názvy polí boli premenované a analyzované polia boli vymazané.
  • Kódy krajín boli skrátené z 3 znakov na 2 znaky.
  • Značky, ktoré boli pridané pred verziou 0.14.1 nebudú premigrované.
  • Plná podpora IPv6 pomocou Elasticsearch IP type.

Stiahneme balíček s verziou 1.1.0

Priradíme mu práva:

chmod +x moloch_1.1.0-1_amd64.deb

Vypneme všetky súčasti molocha:

service molochcapture stop
service molochviewer stop

Nainštalujeme Moloch v1.1.0:

dpkg -i moloch_1.1.0-1_amd64.deb

Na všetkých uzloch spustíme /data/moloch/bin/moloch_update_geo.sh , ktorý nám stiahne a aktualizuje nové mmdb style maxmind súbory.

Spustíme db.pl http://localhost:9200 upgrade , pre upgrade databázy.

Zapneme súčasti Molocha:

service molochcapture start
service molochviewer start

Pokiaľ vznikne problém a súčasti budú mať problém sa spustiť, je potrebné skontrolovať logy capture a viewera nachádzajúce sa v /data/moloch/logs/capture.log a /data/moloch/logs/viewer.log.

Upgrade na Moloch 1.5.3 a vyššie

Pre upgrade na Moloch 1.5 a vyššie musíme najprv upgradovať Moloch na verziu 1.0 alebo 1.1 (1.1.1 je odporúčaná). Taktiež, všetky reindexovacie operácie musia byť dokončené.

Vypneme capture a viewer:

service molochcapture stop
service molochviewer stop

Stiahneme balíček s verziou 1.5.3

Priradíme mu práva a rozbalíme ho:

chmod +x moloch_1.5.3-1_amd64.deb
dpkg -i moloch_1.5.3-1_amd64.deb

Pre clean inštaláciu spustíme:

/data/moloch/db.pl http://localhost:9200 init

Ak chceme len upgrade:

/data/moloch/db.pl http://localhost:9200 upgrade

Ak sme sa rozhodli pre clean inštaláciu, musíme znovu pridať používateľa, pretože ho init script vymaže:

/data/moloch/bin/moloch_add_user.sh admin "Admin User" THEPASSWORD --admin

Spustenie offline monitoringu priečinku:

exec /data/moloch/bin/moloch-capture -c /data/moloch/etc/config.ini --host moloch3 -m -R /data/moloch/monitor/

Spustenie viewera:

service molochviewer start

Pokiaľ majú súčasti problém sa spustiť je potrebné prezrieť logy:

/data/moloch/logs/capture.log
/data/moloch/logs/viewer.log

Zdroj:
Moloch FAQ – Upgrading Moloch

Moloch v1.7.0 – Inštalácia systému

Inštalácia systému Moloch

  • Autor : Miroslav Kohútik
  • Testovaná verzia : 1.7.0
  • Operačný systém : Ubuntu 16.04

Inštalácia Molocha nie je triviálna, preto sme pripravili tento návod ako nasadiť systém Moloch v cloudovom prostredí.

Príprava pred inštaláciou

Pred inštaláciou samotného Molocha musíme nainštalovať databázu Elasticsearch a vykonať nasledovné zmeny v konfigurácii operačného systému.

Moloch – Možnosti použitia Molocha

Možnosti použitia Molocha

  • Autor : Tomáš Mokoš

Nástroj Moloch poskytuje rôzne príklady využitia, pričom ale množina môže byť pre jednotlivých používateľov aj širšia, pokiaľ nájdu pre Molocha aj iné uplatnenie, ako je tu uvedené.

  • DOS útoky – Analyzovanie spojení, ktoré sú podozrivé ako útoky pre odopretie služby.
  • Geolokácia – Identifikovanie krajiny pri spojení.
  • Access Intelligence – Pomáha analyzovať oprávnený/neoprávnený prístup k systémovým zdrojom, aplikáciám, serverom, prevádzkovaniu systému a funkcií. Môžeme tiež vykonať hĺbkovú analýzu pomocou značkovania (angl. taging) konkrétneho systému, aplikácie alebo služby, ktoré sú spustené v sieti.
  • Využitie portov pri spojeniach – množstvo spojení, ktoré boli spojené s konkrétnym portom.
  • Využitie URL pri spojeniach – množstvo spojení, ktoré boli spojené s konkrétnou URL pomocou dopytov.
  • Objemy dát

Na príklade ukážeme využitie Molocha pri analýze CICIDS 2017 datasetu, kde postupne analyzujeme DDoS Hulk útok.
Najskôr si prefiltrujeme prevádzku, kde pomocou filtra tags == CICIDS2017_WEDNESDAY && ip.dst == 192.168.10.50 získamé toky s cieľovou adresou webservera zo dňa útoku.

Moloch1

Násladne v záložke SPI Graph môžeme vidieť nastavením SPI Graph na ip.src zdrojové IP adresy, ktoré komunikovali s týmto webserverom.
Ako môžeme vidieť IP adresa 172.16.0.1 generovala z 85268 relácií práve 84315, z čoho môžeme usúdiť, že táto adresa predstavuje útočníka.

Moloch2

V záložke SPI View vidíme, že komunikácia neprichádzala iba z jedného portu ale bolo ich niekoľko tisíciek a takmer všetky mierili na port 80.
Ďalej vidíme, že drvivá väčšina komunikácia bola smerovaná na rôzne URI z čoho môžeme usúdiť, že to bol útok Hulk vzhľadom na to, že je charakteristický generovaním náhodných random URI, čím spôsobí vyťaženie zdrojov web servera a tým jeho nedostupnosť.
Moloch3
Moloch4

Sources

Zdroje

      • CRZP Komplexný systém pre detekciu útokov a archiváciu dát – Moloch