Hostintel — разведывание вредоносного хоста

Перевод: Анна Давыдова
Источник: n0where.net

Разведывание вредоносного хоста: hostintel

Скачать hostintel

Данный инструмент используется для сбора различных источников информации для хоста. Hostintel написан в модульном стиле, поэтому новые источники информации могут быть легко добавлены. Хосты идентифицируются по имени хоста FQDN, домену или IP-адресу. На данный момент этот инструмент поддерживает только IPv4. Результат представлен в формате CSV и отправляется на STDOUT, таким образом, что данные могут быть сохранены или переданы другой программе. Поскольку выходные данные представлены в формате CSV, электронные таблицы, такие как Excel или системы баз данных, могут легко импортировать данные.

Данный инструмент работает с Python версия 2, но также должен работать с Python версия 3. Если вы столкнетесь с тем, что инструмент не работает с Python версия 3, пожалуйста, сообщите нам об этом.

Экран помощи:

$ python hostintel.py -h
usage: hostintel.py [-h] [-a] [-d] [-v] [-p] [-s] [-c] [-t] [-o] [-i] [-r]
ConfigurationFile InputFile
Modular application to look up host intelligence information. Outputs CSV to
STDOUT. This application will not output information until it has finished all
of the input.
positional arguments:
	ConfigurationFile    Configuration file
	InputFile            Input file, one host per line (IP, domain, or FQDN
host name)
optional arguments:
	-h, --help           show this help message and exit
	-a, --all            Perform All Lookups.
	-d, --dns            DNS Lookup.
	-v, --virustotal     VirusTotal Lookup.
	-p, --passivetotal   PassiveTotal Lookup.
	-s, --shodan Shodan  Lookup.
	-c, --censys Censys  Lookup.
	-t, --threatcrowd    ThreatCrowd Lookup.
	-o, --otx            OTX by AlienVault Lookup.
	-i, --isc            Internet Storm Center DShield Lookup.
	-r, --carriagereturn Use carriage returns with new lines on csv.

Установка Hostintel:

Во-первых, убедитесь, что ваш файл конфигурации корректно настроен для вашего компьютера / установки. При необходимости, добавьте ваши ключи API и имена пользователей в файле конфигураций. Для запуска этого инструмента требуются Python и Pip. Есть несколько модулей, которые должны быть установлены с GitHub, так что убедитесь, что ваша командная строка поддерживает команды git. Git легко устанавливается на любую из платформ. Затем установите требования python (выполняйте это каждый раз, как вы стягиваете что-либо с git репозитория):

$ pip install -r requirements.txt

Ранее возникали некоторые проблемы со стоковой версией Python в Mac OSX (http://stackoverflow.com/questions/31649390/python-requests-ssl-handshake-failure). Возможно, вам понадобится установить часть средств защиты библиотеки запросов. Это можно сделать с помощью следующей команды:

$ pip install requests[security]

И наконец, я являюсь поклонником virtualenv для Python. Чтобы настроить локальную установку Python для запуска этого инструмента, я рекомендую вам ознакомиться с: http://docs.python-guide.org/en/latest/dev/virtualenvs/

Запуск:

$ python hostintel.py myconfigfile.conf myhosts.txt -a > myoutput.csv

Вы должны иметь возможность импортировать myoutput.csv в любую базу данных или программу для работы с электронными таблицами.

Обратите внимание, что данный скрипт может запускаться очень долгое время в зависимости от сети, которую вы используете, ограничений ваших API ключей и данных, которые вы ищите. Используйте каждый модуль экономно! В обмен на долгое ожидание вы избавляетесь от необходимости вручную извлекать эти данные.

Источники информации:

Вы можете получить API ключи для вашего файла конфигурации на сайтах приведенных ниже.

• GeoLite2 (Нет необходимости в сетевом вводе / выводе)
• DNS (Требуется сетевой ввод / вывод)
• VirusTotal (Общедоступный API ключ и сетевой ввод / вывод требуются, прерванный при необходимости)
• PassiveTotal (API ключ, имя пользователя, и сетевой ввод / вывод требуются)
• Shodan (API ключ и сетевой ввод / вывод требуются)
• Censys (API ключ, имя пользователя, и сетевой ввод / вывод требуются)
• ThreatCrowd (Требуется сетевой ввод / вывод, прерванный при необходимости)
• OTX by AlienVault (API ключ и сетевой ввод / вывод требуются)
• Internet Storm Center (Требуется сетевой ввод / вывод)
  

Ресурсы:

• The GeoIP2 Python библиотека
  
  • https://github.com/maxmind/GeoIP2-python
    
• The Python DNS библиотека
  
  • https://github.com/rthalley/dnspython
    
  • Foundation of DNS lookups inspired by http://www.iodigitalsec.com/performing-dns-queries-python/
    
• The VirusTotal Python библиотека
  
  • https://github.com/blacktop/virustotal-api
    
• The Shodan Python библиотека
  
  • http://shodan.readthedocs.io/en/latest/
    
  • https://github.com/achillean/shodan-python
    
• The Censys Python библиотека
  
  • https://github.com/censys/censys-python
    
  • https://www.censys.io/api
    
• The PassiveTotal Python библиотека
  
  • https://passivetotal.readthedocs.io/en/latest/
    
  • https://github.com/passivetotal/python_api
    
• The ThreatCrowd Python библиотека
  
  • https://github.com/threatcrowd/ApiV2
    
  • https://github.com/jheise/threatcrowd_api
    
• The OTX Python библиотека
  
  • https://github.com/AlienVault-Labs/OTX-Python-SDK
    
  • https://otx.alienvault.com/api/
    
• The Internet Storm Center DShield Python библиотека
  
  • https://github.com/rshipp/python-dshield
    
  • https://isc.sans.edu/api/