使用Zeek和RITA检测恶意软件信标

大家好，我是John Strand。在本视频中，我们将讨论如何使用RITA检测信标行为。本次演示未使用Security Onion，而是采用ADHD（Active Defense Harbinger Distribution）。要获取ADHD，请访问ActiveCountermeasures.com网站，进入项目页面即可找到RITA、Passer等工具。

选择ADHD的原因有二：首先我们提供了本视频的详细操作指南；其次已预置数据包捕获文件（pcap），方便直接分析信标行为。

进入ADHD后，首先进入Attribution模块，下拉选择RITA（Real Intelligence Threat Analytics）。与商业工具AI Hunter相比，RITA免费提供全部算法逻辑和计算能力，而AI Hunter则包含GUI平台、告警功能等企业级特性。

RITA基本操作流程如下（演示环境中已预配置）：

1. 进入/home/ADHD/tools/enterprise_lab目录
2. 使用Zeek（原Bro）解析网络日志：rita import命令导入Bro日志至目标数据库
3. 执行rita analyze进行数据分析

本次演示已启动MongoDB并生成HTML报告。HTML输出更适合视频展示，此外RITA还支持文本、JSON格式输出或直接连接MongoDB。

以VSagent数据为例，该pcap文件经Zeek解析后，由RITA分析生成多项检测结果。我们将重点讨论信标检测。

信标分析示例：

• 源IP：10.234.234.100
• 目标IP：138.197.117.74
• 连接数：4,532次

信标检测数学原理 采用MADMOM（均值中位数平均分布）算法（非Splunk常用的K-means聚类）。通过柏拉图哲学类比：理想信标如同"完美椅子"的概念，实际信标是其变体。关键特征包括：

1. 时间间隔一致性
   类似心跳机制，稳定间隔可能指示信标活动

2. 数据包大小规律性
   收发数据包大小一致可能体现"无指令等待"的通信模式

3. 抖动一致性分析
   例如10秒间隔±20%抖动，实际连接会分布在8-12秒区间，形成特定分布模式

RITA可快速对全量连接执行此类分析。操作建议按分数排序结果，可导出至Excel。需注意：

• 结果中常见Google/Microsoft等合法连接
• 可疑指标组合：非常规IP（如DigitalOcean）+高连接数+稳定间隔
• 非所有高间隔连接均为恶意，但需重点排查（RITA支持白名单过滤）

最后提醒：ADHD默认账号/密码均为ADHD，进入Attribution模块即可体验RITA信标检测功能。

附：John Strand相关培训课程

• SOC核心技能
• 主动防御与网络欺骗
• BHIS与MITRE ATT&CK安全入门
• 渗透测试基础