En el breve capítulo de hoy vamos a usar una herramienta muy útil a la hora de extraer IOC o Indicators Of Compromise de distintas fuentes, como texto, pdf o html y exportarlos en formatos amigables para el análisis de amenazas como Yara, CSV, Json o netflow.
El script lo podemos descargar de: https://github.com/armbues/ioc_parser con un simple git clone
Instalamos los requisitos de python si no los teníamos ya:
- PyPDF2 - pip install pypdf2
- pdfminer - pip install pdfminer
- BeautifulSoup - pip install beautifulsoup4
- requests - pip install requests
Si por cualquier motivo quieres sacarlo en json:
python iocp.py Thamar-Reservoir.pdf -d -o json
{"path": "Thamar-Reservoir.pdf", "match": "clearskysec.com", "type": "Host", "page": 1, "file": "Thamar-Reservoir.pdf"}
{"path": "Thamar-Reservoir.pdf", "match": "tmp.bat", "type": "Filename", "page": 2, "file": "Thamar-Reservoir.pdf"}
Si lo que queremos es pasarle simplemente una url, bastaría con esto: python iocp.py -i html http://www.joewein.de/sw/blacklist.htm
Muy interesante pero usar con moderación, ya que lo más seguro es que incluyas falsos positivos en tus IOC´s.
Espero que os guste !!!
Si te gusta Inseguros y quieres apoyarlo, puedes votarlo en los premios Bitacoras 2015 junto a 4 blogs más. Gracias !!!