Aqua Tracee 是一款适用于 Linux 的开源运行时安全和取证工具,旨在解决常见的 Linux 安全问题。Tracee 的主要用例是安装在生产环境中,持续监控系统活动并检测可疑行为。Tracee 还可用于其他用例,包括动态恶意软件分析、系统跟踪、取证调查等。这些用例可以从更具交互性的用户体验和一些用于分析 Tracee 输出的工具中受益匪浅。
在本篇博文中,我们介绍了 Traceeshark,这是 Wireshark 的一个插件,可以对 Tracee 事件(包括内核级事件和行为检测以及网络流量)进行可视化和交互式分析。Traceeshark 还提供了直接从 Wireshark 捕获 Tracee 事件的功能,类似于常规网络捕获,为某些用例提供了更好的用户体验。
特蕾西
Aqua Tracee 是一款适用于 Linux 的运行时安全和取证工具,它利用 eBPF 技术在运行时跟踪系统和应用程序,分析内核级事件以检测可疑的行为模式,并捕获取证工件。您可以在我们的博客“ Tracee 的故事:运行时安全工具之路”中阅读有关其演变的信息。
Tracee 的最大优势之一是它采用一种强大且非侵入式的方法来捕获和收集各种事件。它提供了广泛的事件以及出色的取证可见性和灵活性。通过使用 eBPF,Tracee 可以透明地监控容器内发生的可疑行为,而潜在的恶意行为者无法检测到 Tracee 或使用反调试技术来阻止其运行。
然而,多年来,我们注意到 Tracee 存在一些局限性。事件类型的丰富性和数量之巨对有效分析 Tracee 捕获的攻击提出了挑战。
此外,从命令行运行 Tracee 是一个手动过程,带有满足我们捕获需求的各种标志。
我们看到了创建新工具的机会,以便开展有效的调查,更好地了解事件链并得出有关机器上发生的事情的结论。
我们创建的工具之一非常有效且耗时,因此我们决定与社区分享它,以造福所有 Tracee 用户。
什么是 Wireshark?
Wireshark 是一款功能强大的开源网络协议分析器,可用于网络故障排除、分析、软件和协议开发以及教育。它可实时捕获并以交互方式显示网络上来回传输的数据,从而深入了解网络活动。
其详细的数据包级分析功能使其成为诊断网络问题、识别安全漏洞和确保网络性能的宝贵工具。Wireshark 支持多种协议,并因其强大的功能集而得到广泛使用。
Wireshark 的开源特性允许用户和开发人员添加新功能或改进现有功能。这种可扩展性使我们的研究人员能够开发 Traceeshark 并将其贡献给社区。
Traceshark 简介
Traceeshark 将 Linux 运行时安全监控和高级系统跟踪功能引入到我们熟悉且无处不在的网络分析工具 Wireshark 中。与 Wireshark 一样,Traceeshark 也是跨平台的,可以在 Windows、Linux 和 Mac 上使用,以分析在 Linux 机器上捕获的 Tracee 事件。
现在,可以使用 Wireshark 的高级功能以交互方式分析 Tracee 生成的事件,这些功能包括交互式和强大的过滤、显示统计数据和执行高级数据聚合。使用这项新功能,分析 Tracee 生成的大量数据变得轻而易举。
Traceeshark 还提供了使用 Tracee 直接从 Wireshark 捕获事件并像网络捕获一样将其流式传输的功能。这可以在运行 Wireshark 的 Linux 机器上本地完成,也可以在 Windows 和 Mac 上使用 docker 桌面的 VM 半本地完成,甚至可以使用 SSH 远程完成。
另一个改变游戏规则的功能是能够同时分析系统事件和 Tracee 生成的网络数据包,这些数据包包含有关其所属系统进程和容器的丰富上下文。此功能彻底改变了基于主机的网络分析,到目前为止,这种分析仅限于在网络接口的上下文中分析网络流量,无法与系统活动进行关联。
Tracee 在安全行业的广泛使用及其先进的系统跟踪和取证功能,加上 Wireshark 在整个 IT 行业的普遍受欢迎程度、成熟度和易用性,为动态恶意软件分析、取证、内核黑客等开辟了一个全新的功能世界。
开始使用 Traceeshark
您必须做的第一件事是安装Wireshark。确保您使用的是最新版本(截至撰写本文时为 4.2.6)。如果您使用的是 Ubuntu 22.04(Jammy)或 24.04(Noble),则可以使用 apt 存储库或 snap store 中的 Wireshark 版本。
下一步是安装
最低0.47元/天 解锁文章
扫一扫
2614
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
