使用Zeek和RITA检测恶意软件信标

大家好，我是John Strand。在本视频中，我们将讨论如何使用RITA检测信标行为。本次演示未使用Security Onion，而是采用ADHD（Active Defense Harbinger Distribution）。要获取ADHD，请访问ActiveCountermeasures.com网站，进入项目页面查找RITA、Passer等工具。

选择ADHD的原因包括：提供本视频的逐步使用指南，并已预导入数据包捕获（pcap）文件以便讨论信标行为，方便观众跟随操作。

进入ADHD后，首先需跳转至Attribution模块，下拉选择RITA（Real Intelligence Threat Analytics）。与商业工具AI Hunter相比，RITA免费提供所有逻辑、数学计算和处理能力，而AI Hunter则提供GUI平台、通知等企业级功能。

在RITA中，按基本指令操作（本视频已提前运行）。通常，使用Bro日志设置时，需先进入Bro加载数据并解析，再通过RITA导入路径指定Bro日志和目标数据库进行解析，最后执行RITA分析完成处理。ADHD中已预配置此流程。

本视频中，Mongo数据库已启动，HTML报告已生成。HTML输出适合视频演示，也支持文本、JSON或直接连接Mongo。查看VSagent中的pcap文件（已由Bro导入并经RITA分析），我们将重点关注信标部分。

信标分析示例：源IP 10.234.234.100与目标IP 138.197.117.74间存在4,532次连接。从数学角度，可使用K-means聚类等算法分析连接一致性，但RITA采用MADMOM（均值中位数平均分布）算法。

信标特征包括：

间隔一致性：类似心跳，间隔稳定可能表示信标。
数据包大小一致性：发送和接收包大小相同可能表示无命令响应的信标活动。
不一致性中的一致性：例如，10秒间隔带有20%抖动（8-12秒范围），RITA能快速免费分析pcap中所有连接的此类模式。

理想情况下，可对结果排序并导出至Excel，查看评分。高分系统中，Google和Microsoft连接常见，但DigitalOcean IP及高连接数、稳定间隔的活动可能异常（如恶意后门）。并非所有高间隔信标均恶意，但需进一步调查（非人类行为）。RITA支持导入白名单过滤。

再次推荐尝试ADHD中的RITA：用户ID和密码均为ADHD，进入Attribution模块选择RITA，按指令打开pcap文件后查看信标数据。

技能提升：可参加John的课程（SOC核心技能、主动防御与网络欺骗、BHIS与MITRE ATT&CK安全入门、渗透测试基础），支持直播/虚拟和点播学习。

相关主题：Wireshark入门、键盘注入攻击执行。