target/mmk-ui-api: 根据规则引擎扫描恶意代码的工具

22-02-25 banq

Merry Maker是一个旨在检测是否存在数字窃取机的解决方案,由两位目标安全开发人员@cawalch和@ebrandel建立。

从根本上说,Merry Maker实现了三个关键过程。
  • 通过保存网站提供的代码以及测试交易产生的网络流量,保存现有页面的基线
  • 对保存的代码进行扫描,以发现任何恶意的迹象
  • 扫描保存的网络流量,以发现任何潜在的危害

Merry Maker不断地模拟在线浏览并完成测试交易,以扫描恶意代码的存在。它像一个在Target.com上的客人一样,完成一些典型的活动,包括在线购买。在这样做的同时,该工具收集和分析各种信息,包括网络请求、JavaScript文件和浏览器活动,以寻找任何类型的不需要的活动。Merry Maker的建立是为了大规模地执行这一切。

Merry Maker的采购在内部被标记为测试订单,因此它们不会被处理,但除此之外,一切都在幕后进行,就像通常在结账时一样。如果检测到任何可能的恶意活动,Merry Maker会向Target的24/7网络安全事件响应小组发出警报,以促进调查。

自2018年推出以来,Merry Maker已经完成了超过一百万次的网站扫描,我们已经提交了多项专利申请。
我们已经开放了Merry Maker框架以及一些检测规则,希望这些信息能够帮助其他网络安全团队建立自己的定制防御。
特点:
  • 模拟用户互动的Puppeteer脚本
  • 用于静态分析的Yara规则
  • 钩住本地JavaScript函数调用以进行检测和归因
  • 近乎实时的浏览器事件检测和警报
  • 分布式事件扫描(规则引擎)
  • 基于角色的用户界面,具有本地和OAuth2认证选项


 

猜你喜欢