Данная статья является переводом. Оригинальный источник
Михари - помощник для непрерывного выполнения запросов и управления результатами. Михари можно использовать для C2, целевой страницы и
Проверяет, содержит ли БД (SQLite3 или PostgreSQL) артефакты или нет.
Если в нем нет артефактов:
Пример уведомления Slack:
Пример события MISP:
Требования:
Установка:
Или с использованием Docker'а:
Mihari по умолчанию поддерживает следующие службы:
Перекрестный поиск
В Mihari есть функции перекрестного поиска. Перекрестный поиск - это поиск по ряду сервисов.
Вы можете получить агрегированные результаты, используя следующие команды:
Команда http_hash
Использование http_hash команды немного сложное:
Есть 2 способа использовать эту команду.
Первый из них проходит --md5, --sha256и --mmh3 параметры:
Другой передает --html параметр. В этом случае автоматически вычисляются хэши HTML-файла:
Вводные JSON-данные должны быть title, description и artifacts ключ.
tags key - необязательный параметр.
Вместо использования переменных среды вы можете использовать файл YAML для конфигурации:
Файл YAML должен быть хешем YAML, как показано ниже:
Вы можете проверить статус конфигурации с помощью команды:
Ссылка скрыта от гостей
Ссылка скрыта от гостей
.Как это устроено
Михари выполняет запрос к Shodan, Censys, VirusTotal, SecurityTrails и т. Д. И извлекает из результатов артефакты (IP-адреса, домены, URL-адреса и хэши).
Проверяет, содержит ли БД (SQLite3 или PostgreSQL) артефакты или нет.
Если в нем нет артефактов:
- Cоздает оповещение на TheHive. (По желанию)
- Отправляет уведомление в Slack. (По желанию)
- Создает мероприятие на MISP. (По желанию)
Пример уведомления Slack:
Пример события MISP:
Требования:
- Ruby 2.6+
- SQLite3
- libpq
Код:
# For Debian / Ubuntu
apt-get install sqlite3 libsqlite3-dev libpq-devУстановка:
Код:
gem install mihariИли с использованием Docker'а:
Код:
docker pull ninoseki/mihariБазовое использование
Mihari по умолчанию поддерживает следующие службы:
- BinaryEdge
- Censys
- CIRCL passive DNS / passive SSL
- crt.sh
- DN Pedia
- dnstwister
- Onyphe
- OTX
- PassiveTotal
- SecurityTrails
- Shodan
- urlscan.io
- VirusTotal
- ZoomEye
Перекрестный поиск
Вы можете получить агрегированные результаты, используя следующие команды:
Команда http_hash
Есть 2 способа использовать эту команду.
Первый из них проходит --md5, --sha256и --mmh3 параметры:
Код:
mihari http_hash --md5=881191f7736b5b8cfad5959ca99d2a51 --sha256=b064187ebdc51721708ad98cd89dacc346017cb0fb0457d530032d387f1ff20e --mmh3=-1467534799Другой передает --html параметр. В этом случае автоматически вычисляются хэши HTML-файла:
Код:
wget http://example.com -O /tmp/index.html
mihari http_hash --html /tmp/index.htmlПримеры использования
Код:
# Censys lookup for PANDA C2
mihari censys '("PANDA" AND "SMAdmin" AND "layui")' --title "PANDA C2"
# VirusTotal passive DNS lookup of a FAKESPY host
mihari virustotal "jppost-hi.top" --title "FAKESPY passive DNS"
# You can pass a "defanged" indicator as an input
mihari virustotal "jppost-hi[.]top" --title "FAKESPY passive DNS"Импорт из JSON
Код:
echo '{ "title": "test", "description": "test", "artifacts": ["1.1.1.1", "github.com", "2.2.2.2"] }' | mihari import_from_jsontags key - необязательный параметр.
Код:
{
"title": "test",
"description": "test",
"artifacts": ["1.1.1.1", "github.com"],
"tags": ["test"]
}Конфигурация
Конфигурация может быть выполнена с помощью переменных среды или файла YAML:
Вместо использования переменных среды вы можете использовать файл YAML для конфигурации:
Код:
mihari virustotal 1.1.1.1 --config /path/to/yaml.ymlФайл YAML должен быть хешем YAML, как показано ниже:
Код:
database: /tmp/mihari.db
thehive_api_endpoint: https://localhost
thehive_api_key: foo
virustotal_api_key: fooВы можете проверить статус конфигурации с помощью команды:
Код:
mihari status
Последнее редактирование модератором:
