VMware Carbon Black Threat Analysis Unit 的开源工具集

VMware Carbon Black 的 Threat Analysis Unit 开发了一系列强大的开源安全工具，集中在 tau-tools 仓库中。本项目主要使用 PowerShell、Python、YARA 和 C++ 等编程语言。

1. 项目基础介绍

本项目是一个开源仓库，包含了 VMware Carbon Black Threat Research Team 的 Threat Analysis Unit 开发的多种安全工具。这些工具旨在帮助安全研究者和运维人员防御和响应各种网络安全威胁。

2. 核心功能

• ThreatHunter Watchlist-Manager：用于管理威胁狩猎的监控列表，可以帮助研究人员跟踪和监控潜在威胁。
• Response CB-Command_R：VMware Carbon Black 的响应工具，用于自动化和简化安全响应过程。
• MITRE ATT&CK Navgen：生成针对 MITRE ATT&CK 框架的导航图表，帮助用户理解和规划防御策略。
• Invoke-APT29：模拟高级持续性威胁（APT）29的攻击技术，用于测试和验证防御措施。
• Meterpreter Extractor：从内存中提取 Meterpreter shellcode，用于安全分析。
• IOCs YARA PNG Extract：提取 PNG 文件中的 IOC（Indicator of Compromise）信息，用于威胁情报分析。
• Remediation：提供了一系列的修复工具，用于清除和修复受感染的系统。

3. 最近更新的功能

最近更新的功能包括但不限于以下几项：

• FancyBear：针对 Fancy Bear APT 组织的检测和响应工具。
• Sodinokibi：用于检测和应对 Sodinokibi 勒索软件的工具。
• TinyPOS：一款针对 TinyPOS 恶意软件的检测工具。
• EternalDarkness：应对 EternalDarkness 恶意软件的工具。
• Shlayer：用于检测 Shlayer 恶意软件的威胁模拟工具。
• Pseudo Ransomware：模拟勒索软件行为，用于测试和评估安全防御效果的伪勒索软件工具。

这些工具的更新和完善，使得 tau-tools 成为了一个功能丰富、适用于多种安全场景的开源工具集。