Herramienta de respuesta y detección de puntos finales y defensa activa para Blue Team
BLUESPAWN ayuda a los equipos azules a monitorear los sistemas en tiempo real contra atacantes activos mediante la detección de actividad anómala. Es una herramienta de respuesta y detección de puntos finales y defensa activa , lo que significa que los defensores pueden utilizarla para detectar , identificar y eliminar rápidamente la actividad maliciosa y el malware en una red.
Características principales:
- Muévase más rápido : herramienta diseñada específicamente para identificar rápidamente la actividad maliciosa en un sistema
- Conozca la cobertura : Saber exactamente qué pueden detectar nuestras herramientas y no depender tanto del software blackbox (es decir, programas AV). Este enfoque nos ayudará a enfocar mejor nuestros esfuerzos en líneas específicas y a tener confianza en el estado de los demás
- Mejor comprensión : poder comprender mejor la superficie de ataque de Windows para poder defenderla mejor
- Más software de código abierto del equipo azul : si bien hay muchas herramientas del equipo rojo de código abierto, la gran mayoría de algunas de las mejores herramientas del equipo azul son de código cerrado (es decir, AV, EDR, SysInternals, etc.). No deberíamos necesitar depender de la seguridad a través de la oscuridad para prevenir actores maliciosos (obviamente muy difícil, ¡pero algo por lo que luchar!)
- Demuestre las características de las API del sistema operativo : Los desarrolladores revisamos una tonelada de documentación de Microsoft, respuestas de StackOverflow y más para crear BLUESPAWN. Es de esperar que otros encuentren útil parte del código.
BLUESPAWN consta de 3 modos principales que se enumeran a continuación. Varios de estos módulos tienen submódulos (que es posible que aún no se hayan creado en la base de código) como se enumeran a continuación y todos se encuentran en diferentes etapas de planificación, investigación y desarrollo. Además, son compatibles con otros módulos.
- Hunt (busca evidencia de comportamiento malicioso)
- Mitigar (mitiga las vulnerabilidades aplicando configuraciones de seguridad)
- Monitorear (monitorea continuamente el sistema para detectar comportamientos potencialmente maliciosos)
- Escanear (se utiliza para evaluar los elementos identificados por las búsquedas y tomar una decisión sobre si es sospechoso / malware o no)
- Usuario (contiene el programa principal, IOBase y otras funciones similares)
- Util (contiene una colección de módulos que admiten operaciones básicas)
- Configuraciones
- Registros de eventos
- Sistema de archivos
- Iniciar sesión
- PE
- Procesos
BLUESPAWN se encuentra en fase de desarrollo alfa activo , por lo que es posible que muchas funciones aún no funcionen como se esperaba y las detecciones pueden tener un alcance demasiado limitado o generar muchos falsos positivos.
BLUESPAWN está diseñado para ser ejecutado por un profesional de seguridad en la mayoría de los casos y como tal, detectará en ocasiones actividades no maliciosas. Si bien BLUESPAWN ayuda a descubrir rápidamente cosas potencialmente malas, espera que el usuario utilice la información disponible para tomar la determinación final.
Modos de empleo:
Modo de mitigación
Ejecute lo siguiente desde su símbolo del sistema administrativo para auditar su sistema para detectar la presencia de muchas configuraciones de seguridad
.\BLUESPAWN-client-x64.exe –mitigate –action = audit
Modo de caza
Ejecute BLUESPAWN desde el símbolo del sistema administrativo para buscar actividad maliciosa en el sistema
.\BLUESPAWN-client-x64.exe –hunt -a Cursory –log = consola, xml
Modo monitor
Ejecute BLUESPAWN desde el símbolo del sistema administrativo para monitorear la actividad maliciosa en el sistema
.\BLUESPAWN-client-x64.exe –monitor -a Cursory –log = consola, xml
Más información y descarga de BLUESPAWN: