TinyCheck可以让用户轻松地捕捉来自智能手机或可与Wi-Fi接入点关联的任何装备的网络通讯,以便对其举行快速剖析。通过使用试探法或特定的攻击指标(IoC),可用于检查是否有任何可疑或恶意通讯从智能手机传出。

为了使其正常运行,用户需要一台具有Debian操作系统和两个Wi-Fi接口的计算机。最好的选择是使用带有Wi-Fi加密狗和小触摸屏的Raspberry Pi(3+)。这个小巧的设置(不到50美元)使用户可以在任何地方点击任何Wi-Fi装备。

TinyCheck的想法是在一次与法国妇女庇护所的跟踪器集会上泛起的。在这次集会上,我们讨论了如何在不安装异常技术性的应用程序或纰谬它们举行取证剖析的情况下轻松检测跟踪器软件。最初的想法是开发一种基于Raspberry Pi的微型信息装备,这样非技术职员就可以使用该装备来测试其智能手机是否受到跟踪软件或任何特工软件发出的恶意通讯的攻击。

固然,TinyCheck也可以用于发现来自网络犯罪或国家资助的植入程序的任何恶意通讯。它允许最终用户通过后端推送自己的扩展的攻击指标,以检测线路上的任何信息泄露。

现实用法

个人和企业可以通过多种方式使用TinyCheck:

通过网络:TinyCheck安装在网络上,可以通过浏览器从工作站举行接见。

在kiosk模式下:TinyCheck可用作kiosk模式,以允许接见者测试自己的装备。Windows Kiosk模式只是Windows操作系统(OS)的一项功效,它将系统的可用性或接见权限仅限于某些应用程序。意思是,当我们在Windows上打开Kiosk模式时,它只允许一个应用程序运行。Kiosk模式的利益是,它允许企业仅在办公室,餐馆等运行特定的销售点(POS)应用程序,以阻止客户使用机械上的任何其他应用程序。

完全自力:通过使用一个移动电源,用户可以在任何地方点击任何装备。

剖析智能手机的7个步骤

1.停用移动装备(蜂窝数据):在智能手机设置中禁用3G / 4G数据链接。

2.关闭所有打开的应用程序:这样可以防止一些FP,也可以很好地禁用新闻/约会/视频/音乐应用程序的后台刷新。

3.将用户的智能手机毗邻到TinyCheck天生的WiFi网络:毗邻到Wi-Fi网络后,建议守候10-20分钟。

4.与智能手机互动:发送短信、打电话、摄影、重新启动手机,某些植入程序可能会对此类事宜做出反映。

5.住手捕捉:点击按钮住手捕捉。

6.剖析捕捉:剖析捕捉到的通讯。

7.保留捕捉:将捕捉的映像保留在USB中或直接下载。

TinyCheck的基础架构

TinyCheck分为三个自力的部门:

后端:用户可以在其中添加自己的扩展IOC,白名单元素,编辑设置等。

前端:用户可以通过确立暂且WiFi AP来剖析其装备的通讯。

剖析引擎:通过使用Zeek,Suricata,扩展的IOC和启发式方式剖析pcap。

后端和前端异常相似,两者都包罗一个VueJS应用程序(源存储在/app/下)和一个在Flask中开发的API端点(存储在/server/下)。后端和前端之间共享的数据存储在用于设置的config.yaml文件中,用于whitelist/IOCs的tinycheck.sqlite3数据库中。

值得注重的是,并非所有设置选项都可以从后端举行编辑(例如默认端口,免费证书发表者等)。现在,来看看config.yaml文件来调整一些设置选项。

安装历程

在安装TinyCheck之前,用户需要具备以下条件:

1.具有Raspberry Pi OS的Raspberry Pi或任何具有Debian式系统的计算机。

2.两个有用的Wi-Fi接口(使用ifconfig | grep wlan | wc -l检查其编号)。

3.正常的互联网毗邻。

4.以前为TinyCheck的kiosk模式安装的一个小型触摸屏。

通过执行install.sh,将安装与项目关联的所有依赖项,这可能需要几分钟的时间,详细取决于用户的Internet速率。此时,将确立四个服务

tinycheck-backend执行后端服务器和接口;

tinycheck-frontend执行前端服务器和接口;

tinycheck-kiosk可以处置TinyCheck的 kiosk版本;

tinycheck-watchers可以处置从外部URL自动更新IOCs / whitelist的监控;

安装完成后,操作系统将重新启动。

接见前端

,

allbet网址_ALLbet6.com

欢迎进入欧博开户网址(Allbet Gaming):www.aLLbetgame.us,allbet网址开放allbet网址、allbet会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。

,

可以从http://tinycheck.local举行接见的前端是一种隧道,可以在整个网络捕捉和讲述历程中辅助用户。它允许用户确立与现有Wi-Fi网络的Wi-Fi毗邻,确立暂且的Wi-Fi网络,捕捉通讯并向用户显示讲述,在没有任何技术知识的情况下,点击5下。

接见后端

安装后,用户可以通过浏览URL https://tinycheck.local并接受SSL自署名证书将自己毗邻到TinyCheck后端,默认凭证为tinycheck / tinycheck。

后端允许用户编辑TinyCheck的设置,添加扩展的IOCs 和whitelisted 的元素,以防止误报。已经提供了多个IOC,例如很少的suricata规则,FreeDNS,名称服务器,已知托管恶意服务器的CIDR等。就扩展的IOC而言,TinyCheck的第一个版本包罗:

Suricata规则;

CIDRs;

域和FQDN(通常称为“域”);

IPv4 / IPv6地址;

证书sha1;

域名服务器;

FreeDNS;

Fancy TLD,TLD(Tracking-Learning-Detection)是英国萨里大学的一个捷克籍博士生Zdenek Kalal在其攻读博士学位时代提出的一种新的单目的长时间跟踪(long term tracking)算法。该算法与传统跟踪算法的显著区别在于将传统的跟踪算法和传统的检测算法相结合来解决被跟踪目的在被跟踪历程中发生的形变、部门遮挡等问题。同时,通过一种改善的在线学习机制不断更新跟踪模块的“显著特征点”和检测模块的目的模子及相关参数,从而使得跟踪效果加倍稳固、可靠;

接见剖析引擎

剖析引擎异常简朴,对于第一个版本,在捕捉历程中不会实时剖析网络通讯。引擎对先前保留的网络捕捉执行Zeek和Suricata,Zeek是一个著名的网络剖析器,它将捕捉的会话存储在几个日志中。

保留后,将对这些日志举行剖析,以查找扩展的IOC(在上面列出)或与启发式规则匹配(可以通过后端停用)。启发式规则在zeekengine.py中举行了硬编码,并在下面列出。由于一次只剖析一个装备,因此行使启发式警报的可能性很小。

UDP / ICMP不在本地网络中;

目的端口> 1024的UDP / TCP毗邻;

会话时代DNS无法剖析远程主机;

远程主机使用自署名证书;

在非标准端口上完成SSL毗邻;

远程主机使用特定的SSL证书发表者(例如,让我们加密);

会话时代完成的HTTP请求;

在非标准端口上完成的HTTP请求;

……

在Suricata部门,将凭据保留为IOC的suricata规则剖析网络捕捉。例如:

装备名称以明文形式显示;

接见点SSID以明文形式显示;

监控程序

为了使IOC和白名单不断更新,TinyCheck集成了称为“监控程序”的功效。这是一项异常简朴的服务,只有几行Python,可以从公共URL中获取新花样的IOC或白名单元素。到目前为止,TinyCheck集成了两个URL,一个用于白名单,一个用于IOC(花样化的文件位于Assets文件夹中)。

若是你在这两个列表中发现了异常可疑或需要观察/整合的内容,请联系开发者。

使用中注重的事项

是否可以将数据发送到卡巴斯基或任何遥测服务器?

不可以,由于用户可以查看源,TinyCheck发送的唯一数据是到用户可以在设置中指定的网站的HTTP GET请求以及监控程序URL,卡巴斯基不会从用户的TinyCheck装备吸收任何遥测信息。

用户能否列出一些可与此项目一起使用的硬件(触摸屏,wifi加密狗等)?

不可以,开发者不希望在此页面上推广任何硬件/组织函数/网站。若是用户需要特定的参考,请与开发者联系。

由于下载的IOC是公然的,用户是否可以开发一个服务器来集中AMBER / RED IOC?

可以,若是非政府组织有需求,可以与开发者联系。

本文翻译自:https://github.com/KasperskyLab/TinyCheck 声明:该文看法仅代表作者自己,与Sunbet 申博无关。转载请注明:usdt不用实名(caibao.it):卡巴斯基开源的智能手机流量挟制工具
发布评论

分享到:

滨州景点:专家: 这样洗碗即是“(吃毒)”, 洗了一辈子的碗, ‘竟然洗错了’!
2 条回复
  1. 皇冠APP下载
    皇冠APP下载
    (2021-01-04 00:07:38) 1#

    欧博网址www.sunbet.us欢迎进入欧博网址(Allbet Gaming),欧博网址开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。我是死忠粉了

  2. 币游
    币游
    (2021-01-10 00:01:45) 2#

    良心网站,太喜欢了!

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。