- เครื่องมือเฝ้าระวังความปลอดภัยแบบโฮสต์สำหรับ Linux โดยเฉพาะ ที่สร้างโดยนักพัฒนาซึ่งไม่พอใจกับต้นทุนสูงของเครื่องมือความปลอดภัยระดับองค์กร (ราว $50,000 ต่อปี) และการออกแบบที่เน้น Windows
- เฝ้าระวังมัลแวร์ รูทคิต และความพยายามซ่อนตัวแบบเรียลไทม์ ผ่านการตรวจจับหลายชั้นที่ครอบคลุมทั้ง user space และ kernel space
- ทำงานด้วย สคริปต์ Bash เพียงไฟล์เดียว มี dependency น้อยมาก ติดตั้งง่าย และผู้ดูแลระบบ Linux ส่วนใหญ่สามารถอ่านและแก้ไขได้เอง
- ออกแบบมาให้ใช้งานได้แม้ในสภาพแวดล้อมต้นทุนต่ำ (นักพัฒนาสร้างบนโน้ตบุ๊กราคา $500)
ความสามารถหลัก
- การเฝ้าระวังแบบเรียลไทม์ : ตรวจสอบโปรเซส เครือข่าย และไฟล์
- ติดตามเหตุการณ์ระดับเคอร์เนลด้วย eBPF : ติดตามการรันโปรเซสแบบเรียลไทม์และวิเคราะห์ system call
- ตรวจจับมัลแวร์ด้วยกฎ YARA (web shell, reverse shell, ตัวขุดคริปโต)
- การตอบสนองต่อภัยคุกคาม
- ตรวจจับและบล็อกพฤติกรรมผิดปกติ (บล็อก IP, ปิดโปรเซส, กักกันไฟล์)
- ตรวจจับเทคนิคการซ่อนตัวของรูทคิตและภัยคุกคามขั้นสูง
- การขยายความสามารถด้านความปลอดภัย
- ตรวจจับการโจมตีด้วย network honeypot (เปิดพอร์ตล่อผู้โจมตี)
- อัปเดต threat intelligence อัตโนมัติ (รวมถึงการตรวจสอบชื่อเสียงของ IP)
- forensic logging และการตรวจสอบความสมบูรณ์
- ความสะดวกในการใช้งาน
- ใช้สคริปต์ Bash เพียงไฟล์เดียว (ไม่ต้องติดตั้งซับซ้อน)
- มี Web dashboard และ REST API
- ปรับให้เหมาะกับสภาพแวดล้อมคอนเทนเนอร์ เช่น Docker
ความต้องการของระบบ
- Linux Kernel 4.9+ (ต้องใช้ eBPF)
- Bash 4.0+
5 ความคิดเห็น
มีแค่ REPO เดียวนั่นเอง ผมคิดไปเองคนเดียวหรือเปล่าว่ามันชวนให้รู้สึกแปลก ๆ?
ถ้าพอเริ่มมีชื่อเสียงขึ้นมา น่าจะมีการโจมตีแบบ supply chain ตามมา
แม้แต่ชื่อบัญชี GitHub ก็ดูน่าสงสัยเหมือนกัน IHATEGIVINGUSERNAME
ก็มีเหตุผลนะ?
ตอนแรกก็สงสัยว่าแค่มี
bashจะทำแบบนี้ได้จริงเหรอ แต่ดูเหมือนว่าจะเรียกใช้ Python เพื่อรัน HTTP server ด้วยเหมือนกันนะว้าว ถ้านี่เป็นเรื่องจริง บอกเลยว่าสุดยอดมาก!