Hostintel — разведывание вредоносного хоста

Перевод: Анна Давыдова
Источник: n0where.net

Hostintel - разведывание вредоносного хоста

Разведывание вредоносного хоста: hostintel

Скачать hostintel

Данный инструмент используется для сбора различных источников информации для хоста. Hostintel написан в модульном стиле, поэтому новые источники информации могут быть легко добавлены. Хосты идентифицируются по имени хоста FQDN, домену или IP-адресу. На данный момент этот инструмент поддерживает только IPv4. Результат представлен в формате CSV и отправляется на STDOUT, таким образом, что данные могут быть сохранены или переданы другой программе. Поскольку выходные данные представлены в формате CSV, электронные таблицы, такие как Excel или системы баз данных, могут легко импортировать данные.






Данный инструмент работает с Python версия 2, но также должен работать с Python версия 3. Если вы столкнетесь с тем, что инструмент не работает с Python версия 3, пожалуйста, сообщите нам об этом.

Экран помощи:

$ python hostintel.py -h
usage: hostintel.py [-h] [-a] [-d] [-v] [-p] [-s] [-c] [-t] [-o] [-i] [-r]
ConfigurationFile InputFile
Modular application to look up host intelligence information. Outputs CSV to
STDOUT. This application will not output information until it has finished all
of the input.
positional arguments:
	ConfigurationFile    Configuration file
	InputFile            Input file, one host per line (IP, domain, or FQDN
host name)
optional arguments:
	-h, --help           show this help message and exit
	-a, --all            Perform All Lookups.
	-d, --dns            DNS Lookup.
	-v, --virustotal     VirusTotal Lookup.
	-p, --passivetotal   PassiveTotal Lookup.
	-s, --shodan Shodan  Lookup.
	-c, --censys Censys  Lookup.
	-t, --threatcrowd    ThreatCrowd Lookup.
	-o, --otx            OTX by AlienVault Lookup.
	-i, --isc            Internet Storm Center DShield Lookup.
	-r, --carriagereturn Use carriage returns with new lines on csv.

Установка Hostintel:

Во-первых, убедитесь, что ваш файл конфигурации корректно настроен для вашего компьютера / установки. При необходимости, добавьте ваши ключи API и имена пользователей в файле конфигураций. Для запуска этого инструмента требуются Python и Pip. Есть несколько модулей, которые должны быть установлены с GitHub, так что убедитесь, что ваша командная строка поддерживает команды git. Git легко устанавливается на любую из платформ. Затем установите требования python (выполняйте это каждый раз, как вы стягиваете что-либо с git репозитория):

$ pip install -r requirements.txt

Ранее возникали некоторые проблемы со стоковой версией Python в Mac OSX (http://stackoverflow.com/questions/31649390/python-requests-ssl-handshake-failure). Возможно, вам понадобится установить часть средств защиты библиотеки запросов. Это можно сделать с помощью следующей команды:

$ pip install requests[security]

И наконец, я являюсь поклонником virtualenv для Python. Чтобы настроить локальную установку Python для запуска этого инструмента, я рекомендую вам ознакомиться с: http://docs.python-guide.org/en/latest/dev/virtualenvs/

Запуск:

$ python hostintel.py myconfigfile.conf myhosts.txt -a > myoutput.csv

Вы должны иметь возможность импортировать myoutput.csv в любую базу данных или программу для работы с электронными таблицами.

Обратите внимание, что данный скрипт может запускаться очень долгое время в зависимости от сети, которую вы используете, ограничений ваших API ключей и данных, которые вы ищите. Используйте каждый модуль экономно! В обмен на долгое ожидание вы избавляетесь от необходимости вручную извлекать эти данные.

Источники информации:

Вы можете получить API ключи для вашего файла конфигурации на сайтах приведенных ниже.

  • GeoLite2 (Нет необходимости в сетевом вводе / выводе)
  • DNS (Требуется сетевой ввод / вывод)
  • VirusTotal (Общедоступный API ключ и сетевой ввод / вывод требуются, прерванный при необходимости)
  • PassiveTotal (API ключ, имя пользователя, и сетевой ввод / вывод требуются)
  • Shodan (API ключ и сетевой ввод / вывод требуются)
  • Censys (API ключ, имя пользователя, и сетевой ввод / вывод требуются)
  • ThreatCrowd (Требуется сетевой ввод / вывод, прерванный при необходимости)
  • OTX by AlienVault (API ключ и сетевой ввод / вывод требуются)
  • Internet Storm Center (Требуется сетевой ввод / вывод)

Ресурсы:

Один комментарий

  1. Доброго времени суток Всем ! У меня вопрос не по теме, но прошу ответить если кто знает. Не могу повысить мощность wi-fi, по умолчанию Tx-Power =14dBm. После изменение региона на BO или BZ ничего не происходит Tx-Power =14dBm.

Оставить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *