BlackHat 2018 (blackhead)

前言

汇聚了全球信息安全业界精英的年度盛事”Black Hat”上周在美国拉斯维加斯落下帷幕，大佬们也带来了很多有趣的软件工具，其中有一些托管在GitHub上开放下载。

在本篇文章中，小编将为你盘点一下在大会上发布或重要议题涉及到的55款可用软件工具，某些还有配套的硬件。这些工具涉及到多个领域，涵盖移动安全、代码审计、加密技术、数据获取和事件响应、反制工具、硬件/嵌入式安全、物联网、恶意软件防范、恶意活动攻防、网络攻击、网络防御、逆向工程、漏洞评估和网络应用安全等。

一、移动安全

(Damn Vulnerable iOS App)是一个用Swift编写的iOS应用程序。其主要目标是为移动安全爱好者、专业人员或学生提供一个练手的平台, 在不违反法律的情况下锻炼iOS渗透测试技能。该应用程序涵盖的漏洞和解决方案适用于iOS 11。涵盖这些领域：本地数据存储、越狱检测、权限滥用、运行操作、防钩子操作/调试、二进制保护、绕过指纹/面部识别、钓鱼、旁路数据泄漏、IPC问题、加密破坏、Web视图问题、网络层安全性、应用程序修补、内存中的敏感信息等

获取详细的介绍、安装使用说明以及相关软件，请访问：

二、代码审计

1. Dependency-Check

Dependency-Check是一款软件组成分析 (Software Composition Analysis, SCA) 工具, 可用于在进行依赖性检测时寻找公开泄露的漏洞。它依托于对公共漏洞平台 (CPE) 的查询来实现这个功能。如果在测试中发现漏洞，该软件会生成一个包含到相关CVE条目链接的报告。

获取详细的介绍、安装使用说明以及相关软件，请访问：

2. Puma Scan

Puma Scan是一个基于.NET框架编写的软件安全代码分析工具, 可在团队编写代码时提供实时、连续的源代码分析支持。在使用Visual Studio工具进行开发时, 相关缺陷会实时显示为拼写检查和编译器警告, 防止将安全bug带入应用程序。Puma Scan还集成到build过程中, 以便在编译时提供安全性分析。

获取详细的介绍、安装使用说明以及相关软件，请访问：

三、加密技术

DeepViolet

DeepViolet是一个用Java编写的TLS/SSL扫描工具。该工具支持脚本命令行运行以及从桌面图形工具调用。这两种方式均可实现扫描HTTPS Web 服务器以检查服务器证书信任凭据、吊销状态、过期时间、弱签名算法等。

获取详细的介绍、安装使用说明以及相关软件，请访问：

四、数据获取和事件响应

1. Bro Network Security Monitor

Bro Network Security Monitor是一款有着15年历史的网络安全监控开源工具，是用于网络流量分析的综合平台，可确保多种环境下的网络安全。它的用户群体包括大学、研究实验室、超级计算机中心和开放科学社区。

获取详细的介绍、安装使用说明以及相关软件，请访问：。

CyBot是一个开源BOT，专注于网络安全威胁情报的处理，可以帮助用户进行研究、聚合信息，甚至还能记笔记。大多数组织机构和企业都倾向于独立设计自用的bot, 并仅在内部使用。而该项目的初衷是构建一个可复用的BOT设计, 使用免费和开源的框架、便宜的树莓 Pi(甚至虚拟机)，从家庭用户到最大的安全操作中心，为每个有兴趣的人和群体提供支持。

获取详细的介绍、安装使用说明以及相关软件，请访问：

3. LogonTracer

LogonTracer是一款用于分析Window 活动目录事件日志来调查恶意登录的分析工具。它会将与登录事件关联的主机名 (或IP地址) 和帐户名信息整合到一个界面，输出可视化的结果，方便用户一眼就能看出其中的猫腻。

获取详细的介绍、安装使用说明以及相关软件，请访问：

4. Rastrea2r

Rastrea2r是一款面向多个平台的开源工具, 它允许运维和SOC分析人员对可疑系统进行审计, 仅需几分钟即可在成百上千个终端中搜索攻击指示器 (IOC)。Rastrea2r支持横跨多个终端执行 Sysinternals、系统命令和其他第三方工具，以分析和收集远程系统 (包括内存转储) 中值得注意的信息，然后将输出结果用于自动或手动分析。通过使用客户端/服务器RESTful API, Rastrea2r还可以基于YARA规则在多个系统上搜索磁盘和内存中的IOC。它还可以用作命令行工具集成在McAfee ePO以及其他AV控制台和业务流程工具中, 允许运维和SOC分析人员收集证据并寻找IOC。

获取详细的介绍、安装使用说明以及相关软件，请访问：

5. RedHunt Linux Distribution (VM)

RedHunt Linux分支是专门用于模拟攻击和搜寻威胁的虚拟机专用系统。RedHunt旨在通过整合各种攻击和防御工具为相关操作提供一站式的环境，提高用户在甄别和处理安全风险的效率。

获取详细的介绍、安装使用说明以及相关软件，请访问：

五、反制工具

AVET(AntiVirus Evasion Tool)是一款Windows平台防病毒工具，它的设计目的是帮助测试人员更方便地解构病毒文件，开发针对性的防病毒方案。

获取详细的介绍、安装使用说明以及相关软件，请访问：

2. DockerSecurityPlayground

DockerSecurityPlayground是一个应用程序，主要用于渗透和网络安全方面的测试。它具备很强的灵活性，允许用户创建、可视化编辑和管理运行/停止所有docker-compose项目。

获取详细的介绍、安装使用说明以及相关软件，请访问：

3. hideNsneak

hideNsneak提供一个用户界面来帮助渗透测试人员管理攻击工具，以便快速部署、管理和进行各种服务，包括虚拟机、域前置、 Cobalt Strike、API网关和防火墙等方面。

获取详细的介绍、安装使用说明以及相关软件，请访问：

4. Merlin (BETA)

Merlin是一个跨平台HTTP/2 命令&控制服务器和代理，使用golang编写。

获取详细的介绍、安装使用说明以及相关软件，请访问：

5. RouterSploit

RouterSploit是一款面向嵌入式设备的开源开发框架。它包含可助力渗透测试的多种模块,支持开发、凭据设置、扫描器、工作负载、执行等流程。

获取详细的介绍、安装使用说明以及相关软件，请访问：

六、硬件/嵌入式安全

1. ChipWhisperer

ChipWhisperer是一个用于硬件安全研究的开源工具包，包含多个开源组件:硬件——原理图和PCB布局免费提供;固件——用于板上USB控制器和FPGA的开源固件，用于实现高速抓取功能：软件——包含一个抓取程序, 用于控制硬件和分析器程序来处理抓取到的数据。

获取详细的介绍、安装使用说明以及相关软件，请访问：

2. JTAGulator

片上调试(OCD)接口可以提供对目标器件的芯片级控制，是工程师、研究人员和黑客用来提取程序代码或数据、修改存储器内容或改变设备操作的主要途径。基于目标设备的复杂程度，手动定位可用的OCD连接可能非常困难和耗时，有时需要物理破坏或修改设备。JTAGulator是一个开源硬件工具，可用于识别目标设备上测试点、过孔或元件焊盘的OCD连接。

获取详细的介绍、安装使用说明以及相关软件，请访问：

3. MicroRenovator

MicroRenovator提供了一种部署处理器微码的机制，该机制独立于制造商和操作系统提供的更新，通过添加自定义EFI启动脚本，该脚本在操作系统运行之前加载微码，使得操作系统内核能够检测更新的微码并启用，以修复幽灵漏洞。

获取详细的介绍、安装使用说明以及相关软件，请访问：

4. TumbleRF

TumbleRF是一款RF模糊测试框架，用于构建面向RF模糊测试的应用。模糊测试是枚举软件系统中错误的强大手段，相关技术在无线软硬件系统中的应用非常广泛，衍生出了多种工具。TumbleRF也是其中一员，旨在通过提供API将多种协议、无线传输和驱动程序统一起来实现RF模糊测试。

获取详细的介绍、安装使用说明以及相关软件，请访问：

Walrus是一款用于非接触式卡片克隆设备的Android应用程序。它采用类似于Google Pay的简洁界面，可以读取卡片信息存入钱包，以便稍后编写或模拟。

Walrus专为物理设备安全评估人员而设计，支持多种基本任务，如读卡、写入和仿真，以及特定于设备的功能，如天线调谐和设备配置。还有一些更高级的功能，如位置标记等，使得处理多个目标变得容易，而批量读取则允许在接近目标时秘密读取多张卡片的信息。

获取详细的介绍、安装使用说明以及相关软件，请访问：

七、物联网

DECAF(Dynamic Executable Code Analysis Framework，动态可执行代码分析框架)是一个基于QEMU的二进制数据分析平台，也是DroidScope动态Android恶意软件分析平台的基础。支持：即时虚拟机内部审计、精确无损的内核污染、事件驱动的编程接口、动态设备管理等功能。

获取详细的介绍、安装使用说明以及相关软件，请访问：

BLE CTF可以帮助用户学习蓝牙低功耗客户端和服务器交互的核心概念，进一步了解如何入侵蓝牙链路。

获取详细的介绍、安装使用说明以及相关软件，请访问：

3. WHID Injector

WHID注入器允许通过Wi-Fi将键入信息发送到目标机器。目标将Ducky识别为标准HID键盘和串行端口，从而允许远程执行目标上的交互式命令和脚本。

获取详细的介绍、安装使用说明以及相关软件，请访问：

八、恶意软件防范

1. MLsploit

MLsploit提供了一个灵活性很强的Web机器学习平台，为安全从业人员提供机器学习服务(MLaaS)。它提供一个机器学习(ML)通道用于构建和调整模型，还有一个用于演示基于机器学习的对抗措施的入口。

获取详细的介绍、安装使用说明以及相关软件，请访问：。

EKTotal是一款集成分析工具，可用于自动分析路过式下载(Drive-by Download)攻击的流量。该软件工具包可以识别4种类型的漏洞攻击工具，如RIG和Magnitude，以及10多种包括Seamless和Fobos在内的典型攻击方式。EKTotal还可以提取漏洞代码和恶意软件。它使用的启发式分析引擎基于自2017年以来对漏洞攻击工具包跟踪研究的数据。EKTotal还提供用户友好的Web界面和强大的自动分析功能，可助力SOC运营商、CSIRT成员和研究人员。

获取详细的介绍、安装使用说明以及相关软件，请访问：。

3. Firmware Audit (fwaudit)

获取详细的介绍、安装使用说明以及相关软件，请访问：。

Malice的目标是成为VirusTotal的免费开源版本，从独立研究人员到财富500强企业都可以使用。

获取详细的介绍、安装使用说明以及相关软件，请访问：

5. Objective-See

随着Mac变得越来越流行，OS X恶意软件也越来越普遍。而目前的Mac安全和防病毒软件不堪大用。Objective-See旨在提供简单而有效的OS X安全工具，并且永远免费。

获取详细的介绍、安装使用说明以及相关软件，请访问：。

九、恶意活动攻防

1. BloodHound

BloodHound是一个独立的Javascript Web应用程序，基于Linkurious构建，使用Electron编译，其中Neo4j数据库由PowerShell ingestor提供。

BloodHound使用图形分析方法揭示Active Directory环境中非预期的隐藏关系。攻击者可以使用BloodHound轻松识别高度复杂的攻击路径，而防御者可以使用BloodHound来识别和消除那些相同的攻击路径。双方都可以使用BloodHound深入了解Active Directory环境中的权限关系。

获取详细的介绍、安装使用说明以及相关软件，请访问：

十、网络攻击

Armory是一款用于从多种工具中提取外部和标识数据的工具，将其添加到数据库并关联有关信息。它不是用来代替特定的工具，而是用来获取工具信息从而为其他工具提供支持。

获取详细的介绍、安装使用说明以及相关软件，请访问：

Chiron是一款先进的IPv6安全评估和渗透测试框架，使用Python编写并使用Scapy。包含这些模块：IPv6扫描程序、IPv6本地链接、IPv4到IPv6代理、IPv6攻击模块、IPv6代理。与其他工具相比，该工具的主要优点是允许用户通过使用各种类型的IPv6扩展标头轻松地创建任意IPv6标头链。

获取详细的介绍、安装使用说明以及相关软件，请访问：

DELTA是一款渗透测试框架，可为不同的测试对象生成攻击方案。该框架还通过模糊测试技术支持在SDN中发现未知安全问题的功能。

获取详细的介绍、安装使用说明以及相关软件，请访问：

Mallet是一款用于为任意协议创建代理的工具，相比常见的Web代理相似适用面更广一些。

Mallet基于Netty框架构建，并且在很大程度上依赖于Netty通道理念，支持图形绘制。在Netty领域，处理程序提供帧定界(即消息开始和结束的位置)、协议解码和编码(将字节流转换为Java对象，然后再返回;或将字节流转换为不同的字节流——类似于压缩和解压缩)和更高级别的逻辑。通过仔细分离编解码器与实际操作消息的处理程序，Mallet可以从现有编解码器的大型库中受益，无需实现许多协议。

获取详细的介绍、安装使用说明以及相关软件，请访问：

5. PowerUpSQL

PowerUpSQL是一款用于攻击SQL服务器的PowerShell工具包，支持SQL服务器的发现、弱配置审计、提权以及获得权限后的操作，如OS命令执行等。该工具包用于内部渗透测试，除此之外管理员可以使用该工具包快速清点其ADS域中的SQL服务器，并进行与SQL服务器相关的常见威胁搜索任务。

获取详细的介绍、安装使用说明以及相关软件，请访问：

6. WarBerryPi

WarBerryPi是一款用于内部安全测试的硬件植入设备，支持在短时间内尽可能多地获取信息。用户只需找到一个网络端口并将其设备插入即可。WarBerryPi可以通过配套的脚本检测网络信号。

获取详细的介绍、安装使用说明以及相关软件，请访问：

十一、网络防御

ANWI是一款全新的无线入侵检测工具，它基于低成本的Wi-Fi模块(ESP8266)构建，可以部署在待检区域的周边。帮助那些无法负担昂贵的WIDS解决方案的组织和企业能够以很低的成本保护他们的网络完全。

获取详细的介绍、安装使用说明以及相关软件，请访问：

CHIRON是一款用于网络安全分析的工具，基于ELK栈构建并可结合机器学习威胁检测框架AKTAION使用。CHIRON支持解析并显示来自P0f、Nmap和BRO IDS的数据。专为家庭环境而设计，可让用户更好地了解家庭互联网设备(物联网，电脑，手机，平板电脑等)的情况。CHIRON与AKTAION整合可帮助用户检测家庭互联网环境中的漏洞利用、勒索软件、网络钓鱼等网络安全领域的风险。

获取详细的介绍、安装使用说明以及相关软件，请访问：

3. Cloud Security Suite (cs-suite)

CS Suite是一款一站式的工具，用于审计AWS基础架构的安全状况。CS Suite使用现有的开源工具，支持python虚拟环境和docker容器的简单安装、一次启动所有工具和审计功能、AWS安全审计、AWS用例设计

获取详细的介绍、安装使用说明以及相关软件，请访问：

DejaVu是一个开源欺诈软件框架，可用于部署诱饵来测试安全性。用户可以使用它在不同VLAN的网络上部署多个交互式诱饵(HTTP服务器、SQL、SMB、FTP、SSH、NBNS)。为了简化诱饵的管理，该开源框架提供了一个基于Web构建的平台，可用于从集中控制台有效地部署、管理和配置所有诱饵。记录和警报仪表板会显示生成的警报的详细信息，并可进一步配置如何处理这些警报。

获取详细的介绍、安装使用说明以及相关软件，请访问：