كوناي (Kunai) : أداة صيد التهديدات مفتوحة المصدر لـ Linux 

 كوناي(Kunai) : هي أداة مفتوحة المصدر توفر مراقبة عميقة ودقيقة للأحداث لبيئات الأنظمة. مُصممة لمساعدة الخبراء على محاكاة هجمات القرصنة (Red Teaming) واكتشاف نقاط الضعف في الشبكات والتطبيقات. في هذا المقال، سنستعرض ميزات Kunai، طريقة تثبيتها على Linux، وأبرز حالات استخدامها.

جمع المعلومات (Information Gathering), فحص الثغرات (Vulnerability Scanning), محاكاة الهجمات (Exploitation), ما بعد الاختراق (Post-Exploitation) ...

 ما يميز Kunai هو قدرتها على تجاوز توليد الأحداث البسيطة. بينما تعتمد معظم أدوات المراقبة الأمنية على syscalls أو ربط وظيفة النواة، يتخذ Kunai نهجًا أكثر تقدمًا من خلال ربط الأحداث بالمضيف وتقديم رؤى غنية. وقال كوينتين جيروم، مبتكر Kunai، لـ Help Net Security، إن هذا يعني عددًا أقل من الأحداث ولكن ذات مغزى أكبر، مما يقلل الضوضاء والضغط على ابتلاع السجلات مع توفير رؤية أعمق في نشاط النظام.

الميزات الرئيسية
تميز Kunai نفسها من خلال قدراتها المتقدمة في معالجة الأحداث ورصدها. فيما يلي بعض نقاط قوتها الرئيسية:

الأحداث المرتبة زمنيا: على عكس العديد من أدوات المراقبة الأخرى، يضمن كوناي معالجة الأحداث وتسليمها بدقة بالترتيب الذي تحدث به، مما يمنع التناقضات ويحسن دقة الطب الشرعي.
الارتباط بين المضيف: تتضمن الأداة آليات التخصيب والترابط المدمجة، مما يسمح لفرق الأمن باكتساب سياق للأحداث التي تحدث عبر النظام.
الرصد الواعي بالحاويات: مع دعم مساحات أسماء Linux وتقنيات الحاويات، يتيح Kunai تتبع أنشطة الحاويات، وهي ميزة حاسمة للبيئات السحابية الحديثة.

"تم تصميم Kunai مع الارتباط في جوهره، مما يجعل من السهل تتبع نشاط العملية الكامل من حدث واحد. إنه مصمم للكشف عن البرامج الضارة، وصيد التهديدات.

كيف يعمل كوناي
تستفيد الأداة من تقنية eBPF (مرشح حزمة بيركلي الموسع)، باستخدام تحقيقات على مستوى النواة لالتقاط وتحليل الأحداث الأمنية الحرجة في الوقت الفعلي. تغذي هذه التحقيقات البيانات في برنامج مستخدم مسؤول عن إعادة ترتيب المعلومات المجمعة وإثرائها وربطها.

أحد الجوانب البارزة في تنفيذ الأداة هو اعتمادها على Rust ومكتبة Aya. تضمن هذه البنية وجود ثنائي مستقل قائم بذاته يتضمن تحقيقات eBPF ومنطق معالجة المستخدم، مما يبسط النشر والاندماج في تدفقات العمل الأمنية الحالية.

التخطيط والتحميل

نحن نخطط بنشاط للخطوات التالية لكوناي، مع العديد من التحسينات الرئيسية في الأفق. نحن نستكشف خادمًا مركزيًا لتبسيط نشر قاعدة الكشف، وإدارة IoCs، والتعامل مع السجلات بكفاءة، ومن المحتمل أن تتكامل مع نقاط التخزين الخلفية. يعد الحفاظ على رمز eBPF الخاص بنا متزامنًا مع أحدث تغييرات نواة Linux أولوية، مما يضمن استمرار الاستقرار والأداء. نحن نبحث أيضًا عن أنواع جديدة من الأحداث لتعزيز اكتشاف البرامج الضارة وتوسيع قواعد الكشف التي يحركها المجتمع لتعزيز رؤية التهديدات "، خلص جيروم. 

 كوناي(Kunai)  متاح مجانًا على GitHub

للتثبيت كوناي(Kunai)

يمكن تثبيتها بسهولة على النظام باستخدام أمر التثبيت

التثبيت الخدمات

افتراضيًا، يقوم أمر التثبيت بتثبيت kunai فقط، لذلك لن يتم تثبيت أي خدمة. يجب اختيار هذا باستخدام خيار -systemd، يمكن للمرء أيضًا أن يقرر تمكين الوحدة مع --enable-unit

تركيب نظام 

ستقوم القيادة التالية بتثبيت كوناي (Kunai) مع جميع الحالات الافتراضية ولكنها ستقوم أيضًا بتثبيت وتمكين وحدة النظام. بمجرد تشغيل الخدمة وتشغيلها، يمكن إدارتها كأي خدمة نظام أخرى.

اسم الخدمة

افتراضيًا تم تسمية الوحدة(00-kunai.service) بحيث يبدأ قبل الخدمات الأخرى. الافتراضي هو أيضًا إنشاء اسم مستعار (Alias=kunai.service) لتبسيط بعض خطوط الأوامر مثل (systemctl status kunai).

لضبط الاعدادات

من أجل إنشاء ملف تكوين افتراضي للكوناي استخدم سطر الأوامر التالي.

لضبط الافتراضي

تستخدم (config --dump) يمنحك الخيار وجهة نظر حول التكوين الافتراضي للأداة عند تشغيلها دون إعداد (-c --config) خيار.

ملفات الإعداد

 رابط الموقع لتثبيت الأوامر من هنا

يسعى الفريق المسؤول عن مشروع Kunai إلى أن يكون المشروع ككل، وليس فقط قواعد الاكتشاف، مدفوعًا بمشاركة المجتمع. تُعتبر أي ملاحظات أو مشكلات أو طلبات ميزات ذات قيمة كبيرة.