В современном цифровом мире, где вопросы кибербезопасности приобретают всё большую значимость, необходимы надёжные и универсальные инструменты для защиты информационных систем. Одним из таких современных решений является Anubi — многофункциональный инструмент, написанный на языке Python и разработанный для эффективного и гибкого мониторинга систем безопасности на различных платформах, включая Linux, MacOS и Windows. Anubi сочетает в себе возможности пассивного и активного сканирования, анализа сетевых интерфейсов, мониторинга изменений в файловой системе и генерации отчетов об используемом программном обеспечении, что делает его привлекательным решением для администратора, специалиста по безопасности и исследователя вредоносных программ. В основе Anubi лежит мощный механизм анализа, который использует пять различных движков для комплексной проверки компьютерных активов. Он включает сканер индикаторов компрометации (IOC), хеш-сканер, модуль проверки IP-адресов, инструмент для мониторинга изменений файловой системы под названием Voyeur и API-интерфейс для взаимодействия с пользователем.
Кроме того, инструмент поддерживает генерацию Software Bill of Materials (SBOM) — детализированного перечня компонентов и их зависимостей с использованием стандарта OWASP CycloneDX. Особенностью Anubi является применение Yara — языковой системы, предназначенной для идентификации и классификации вредоносных образцов с помощью правил. В Anubi запускается пассивное сканирование корневой файловой системы с использованием актуальных Yara-правил, которые обновляются ежедневно и содержатся в официальном репозитории. Это позволяет выявлять потенциальные угрозы и компрометирующие индикаторы без вмешательства в работу системы. Параллельно с Yara, хеш-сканер работает с базой известных хеш-сумм вредоносных образцов, обеспечивая быстрый и надёжный способ обнаружения угроз по подписанным цифровым отпечаткам.
Такой подход особенно эффективен для локализованного контроля целостности и обнаружения известных вредоносных программ. Модуль IP checker обеспечивает активное мониторинговое наблюдение за сетевым трафиком на выбранном сетевом интерфейсе. Он анализирует входящие и исходящие соединения, сверяя IP-адреса с базой подозрительных или вредоносных адресов, обновляемой регулярно. Это обеспечивает защиту от сетевых атак, вторжений и попыток коммуникации с командными серверами злоумышленников. Voyeur — уникальная компонента Anubi, которая фокусируется на отслеживании изменений в указанных каталогах.
Она реагирует на создание или модификацию файлов с применением как Yara, так и хеш-правил в реальном времени. Такой подход не только помогает оперативно выявлять риски, но и значительно снижает время реакции на инциденты безопасности, повышая уровень защиты. Интегрированное API строит мост между Anubi и пользователями или другими системами. Оно позволяет выполнять обновления правил, запускать сканирования по требованию и получать детализированные отчёты через простые HTTP-запросы. Параллельно существует веб-интерфейс, доступный по умолчанию на локальном адресе, где пользователь может в удобной визуальной форме управлять инструментом и анализировать результаты.
Отдельно стоит отметить возможность генерации SBOM — отчёта, описывающего все компоненты программного обеспечения, использованные в той или иной системе. Данный функционал базируется на инструменте Syft и позволяет формировать стандартизированные описания зависимостей, что крайне полезно с точки зрения аудита безопасности и обеспечения соответствия нормативным требованиям. Anubi поддерживает работу на трёх основных операционных системах: Linux, MacOS и Windows. Для полной функциональности необходимы определённые зависимости — такие как WinPcap для Windows, Yara, Git, Python3 с набором пакетов, SSHFS и Syft. Установка зависит от платформы, но для большинства систем предусмотрены подробные скрипты и инструкции, облегчающие процесс развертывания.
Гибкость конфигурации Anubi достигается через файл conf_anubi.py, где пользователь может настроить широкий спектр параметров, таких как периодичность сканирования, список каталогов для мониторинга, а также сформировать списки белых исключений для правила Yara, хешей и IP-адресов. Это позволяет минимизировать ложные срабатывания и адаптировать инструмент под именно ваши задачи. Также важной функцией является система уведомлений, реализованная с использованием библиотеки py-notifier. Anubi уведомляет пользователя о обнаружении IOC, вредоносного кода или подозрительной активности в сети посредством всплывающих окон, что особенно полезно для оперативного реагирования на инциденты.
Запуск Anubi возможен в двух режимах: как постоянного агента с периодическими проверками и мониторингом, либо в режиме однократного анализа. Первый вариант позволяет поддерживать непрерывный контроль состояния системы, что подходит для серверов и рабочих станций, где важна постоянная защита. Второй режим удобен для проведения разовых аудитов и проверки конкретных директорий или файлов. Приятным дополнением является возможность экспорта отчетов в формате HTML, что облегчает документирование инцидентов и обмен информацией с коллегами. При этом программа постоянно обновляется и развивается, что подтверждается активностью разработчиков в виде частых коммитов и поддержки сообщества.
Anubi не лишён некоторых технических тонкостей. Например, при работе с Yara могут возникать ошибки, связанные с несовместимостью версий или отсутствием необходимых библиотек, таких как libssl-dev. Для корректного функционирования рекомендуется тщательно следовать инструкциям по установке и настройке. Обобщая, Anubi представляет собой продвинутый комплексный набор средств для обеспечения безопасности и мониторинга, сочетающий в себе современные методики пассивного и активного анализа угроз. Его использование позволяет организациям и специалистам значительно повысить уровень защиты своих инфраструктур, облегчить процесс аналитики инцидентов и обеспечить прозрачность состояния IT-среды.
Активные сообщества вокруг Anubi публикуют обновления и новые правила, что гарантирует своевременное выявление самых свежих угроз. Этот инструмент хорошо подходит для специалистов, стремящихся получить удобный и многофункциональный инструмент с открытым исходным кодом, который можно гибко настраивать под конкретные требования и сценарии эксплуатации. В условиях постоянно меняющегося ландшафта киберугроз важно применять многоуровневые подходы к безопасности. Anubi, благодаря сочетанию Yara-правил, хеш-анализа, мониторингу сети и файловой системы, а также возможности непрерывного обновления и интеграции, хорошо вписывается именно в такую концепцию. Его универсальность и простота использования делают его привлекательным выбором как для предприятий, так и для отдельных профессионалов, стремящихся обеспечить максимальную защиту без значительных затрат.
Подводя итог, Anubi — это инновационный и мощный инструмент, который объединяет несколько важных направлений мониторинга и анализа безопасности, делая процесс защиты цифровых активов максимально эффективным и удобным. С его помощью можно не только оперативно обнаруживать и реагировать на угрозы, но и вести подробный аудит, а также получать обобщённые отчёты о безопасности системы.
