freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

MIG:一款功能强大的高速分布式实时数据取证工具
  • 关注
MIG:一款功能强大的高速分布式实时数据取证工具
2019-08-27 15:00:51

*本工具仅供技术分享、交流讨论,严禁用于非法用途。

MIG,全称为Mozilla InvestiGator,它是一款基于Mozilla平台的高速分布式实时数据取证工具,广大研究人员可以利用MIG来对远程终端进行安全诊断和取证分析。

1.jpg

注意事项

Mozilla目前已不再维护Mozilla InvestiGator(MIG)项目。

同时Mozilla也不再在内部使用该项目源码。

本项目仅出于研究目的,请不要将其用于恶意用途。

快速使用/Docker

你可以使用Docker在本地配置MIG项目,容器环境不适合正式版使用,但可以允许我们进行快速实验,并提供一个具备大多数MIG组件的单一容器环境。

从Dockers Hub获取项目源码:

$docker pull mozilla/mig
$docker run -it mozilla/mig

或者,你也可以使用项目源码构建自己的镜像文件:

$ cd $GOPATH/src/github.com/mozilla/mig
$docker build -t mozilla/mig:latest .
$docker run -it mozilla/mig

在容器环境内,你可以使用MIG工具来查询本地代理:

mig@5345268590c8:~$/go/bin/mig file -t all -path /usr/bin -sha25c1956eba492b2c3fffd8d3e43324b5c477c22727385be226119f7ffc24aad3f
1agents will be targeted. ctrl+c to cancel. launching in 5 4 3 2 1 GO
Followingaction ID 7978299359234.
 1 / 1[=========================================================] 100.00% 0/s4s
100.0%done in 3.029105958s
1sent, 1 done, 1 succeeded
ed11f485244a/usr/bin/wget [lastmodified:2016-07-05 15:32:42 +0000 UTC, mode:-rwxr-xr-x,size:419080] in search 's1'
1agent has found results

如需了解更多MIG的功能,可以参考这篇【文档】。

工具机制

2.jpg

MIG由基础架构中所有系统上的代理终端所组成,这些代理要求可以对终端的文件系统、网络状态、内存情况以及配置信息进行实时审计。

3.png

想象一下,假设现在是星期天的早上七点钟,有人发布了一个严重的PHP安全漏洞(包括漏洞利用代码和入侵威胁指标IoC),而你的PHP应用程序正好就存在这个漏洞。那你这个周末就崩了,而且你还需要手动审计大量系统中成千上万行代码,想想就可怕。

此时,MIG就派上用场了,我们可以使用MIG的file模块并基于签名来搜索存在漏洞的PHP应用程序(基于文件的MD5、正则表达式或文件名)。类似的,我们还可以用MIG来调查特定的日志条目、后门文件、僵尸网络IP地址或内存中的特定字符串。仅仅通过几行命令,我们就可以远程审计数千个系统,以验证安全风险是否存在。

MIG采用的是轻量级代理,安全性有保证,而且容易部署,我们可以将它们添加到系统的基础部署中,而不必担心影响现有的生产网络。MIG采用了快速的异步传输机制,可以使用AMQP将操作命令分发到各个端点,并依赖Go信道来防止阻塞事件发生。运行的操作指令将存储到PostgreSQL数据库和磁盘缓存中,以实现平台可靠性。值得一提的是,大多数操作在代理上只需要几百毫秒即可完成。

技术分析

MIG采用Go编程语言开发,并且使用了REST API和RabbitMQ来向终端代理发送和接收已签名的JSON消息,接下来MIG会将所有数据存储在一个Postgres数据库中。

工具优势:

1、 大规模分布式意味着速度非常快;

2、 易于部署和跨平台特性;

3、 使用OpenPGP保证数据安全;

4、 高度隐私安全性,不会从终端获取元数据;

5.jpg

工具演示视频

演示视频1

演示视频2

MIG论坛

欢迎加入#mig论坛:【irc.mozilla.org】【mibbit

参考文档

https://github.com/mozilla/mig/blob/master/doc/concepts.rst

https://github.com/mozilla/mig/blob/master/doc/configuration.rst

项目地址

Mozilla InvestiGator:【GitHub传送门

*参考来源:mozilla,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

# 实时数据取证工具 # MIG
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
注意事项
    快速使用/Docker
      工具机制
        技术分析
        • 工具优势:
        工具演示视频
        • MIG论坛
        参考文档
          项目地址