最近因为跟着一个安全项目,发现其中的安全产品中的一项监控每场有趣。可以监测到系统进程的主动连接行为并获取连接的IP,并且有些IP可以反查到域名。并在近期的一项活动中根据此项日志可以分析出挖矿(连接矿池)、勒索病毒、远控(连接被控主机),当然这些都要配合着威胁情报。
然后自己也闲的无趣,苦中作乐通过python也可以实现监测进程的主动外联的情况。当然使用的是PYTHON 的 psutil。主要实现逻辑是先收获网络连接情况,然后根据发起的PID 获取进程名 某些还能够获取物理路径 。当然要实现连接的ip反查域名也可以实现,不过没有必要。现在已经可以把主动连接的信息收集上来了,如下图:
从而可以再进一步分析 这就是后期可以进一步补充得了
核心代码如下:
def test():
network_connection = psutil.net_connections() # 获取网络连接情况
for i in network_connection:
temp = psutil.Process(i.pid)
try:
print("PID:", i.pid, "连接情况:", i.laddr,"进程名:", temp.name(),"物理路径:", temp.cwd())
except:
# pass
print("PID:", i.pid,"连接情况:", i.laddr,"进程名:", temp.name())