• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Mihari - помощник для непрерывного выполнения OSINT-запросов и управления результатами

Данная статья является переводом. Оригинальный источник

001.png

Михари - помощник для непрерывного выполнения запросов и управления результатами. Михари можно использовать для C2, целевой страницы и .

Как это устроено
Михари выполняет запрос к Shodan, Censys, VirusTotal, SecurityTrails и т. Д. И извлекает из результатов артефакты (IP-адреса, домены, URL-адреса и хэши).
Проверяет, содержит ли БД (SQLite3 или PostgreSQL) артефакты или нет.

Если в нем нет артефактов:
  • Cоздает оповещение на TheHive. (По желанию)
  • Отправляет уведомление в Slack. (По желанию)
  • Создает мероприятие на MISP. (По желанию)
Пример оповещения TheHive:

002.png

Пример уведомления Slack:

003.png

Пример события MISP:
004.png


Требования:

  • Ruby 2.6+
  • SQLite3
  • libpq

Код:
# For Debian / Ubuntu
apt-get install sqlite3 libsqlite3-dev libpq-dev

Установка:
Код:
gem install mihari

Или с использованием Docker'а:
Код:
docker pull ninoseki/mihari

Базовое использование

Mihari по умолчанию поддерживает следующие службы:
  • BinaryEdge
  • Censys
  • CIRCL passive DNS / passive SSL
  • crt.sh
  • DN Pedia
  • dnstwister
  • Onyphe
  • OTX
  • PassiveTotal
  • SecurityTrails
  • Shodan
  • urlscan.io
  • VirusTotal
  • ZoomEye
005.png


Перекрестный поиск
В Mihari есть функции перекрестного поиска. Перекрестный поиск - это поиск по ряду сервисов.
Вы можете получить агрегированные результаты, используя следующие команды:

006.png


Команда http_hash
Использование http_hash команды немного сложное:

007.png

Есть 2 способа использовать эту команду.
Первый из них проходит --md5, --sha256и --mmh3 параметры:
Код:
mihari http_hash --md5=881191f7736b5b8cfad5959ca99d2a51 --sha256=b064187ebdc51721708ad98cd89dacc346017cb0fb0457d530032d387f1ff20e --mmh3=-1467534799

Другой передает --html параметр. В этом случае автоматически вычисляются хэши HTML-файла:
Код:
wget http://example.com -O /tmp/index.html
mihari http_hash --html /tmp/index.html

Примеры использования
Код:
# Censys lookup for PANDA C2
mihari censys '("PANDA" AND "SMAdmin" AND "layui")' --title "PANDA C2"

# VirusTotal passive DNS lookup of a FAKESPY host
mihari virustotal "jppost-hi.top" --title "FAKESPY passive DNS"

# You can pass a "defanged" indicator as an input
mihari virustotal "jppost-hi[.]top" --title "FAKESPY passive DNS"

Импорт из JSON
Код:
echo '{ "title": "test", "description": "test", "artifacts": ["1.1.1.1", "github.com", "2.2.2.2"] }' | mihari import_from_json
Вводные JSON-данные должны быть title, description и artifacts ключ.
tags key - необязательный параметр.
Код:
{
  "title": "test",
  "description": "test",
  "artifacts": ["1.1.1.1", "github.com"],
  "tags": ["test"]
}

Конфигурация
Конфигурация может быть выполнена с помощью переменных среды или файла YAML:

008.png

Вместо использования переменных среды вы можете использовать файл YAML для конфигурации:
Код:
mihari virustotal 1.1.1.1 --config /path/to/yaml.yml

Файл YAML должен быть хешем YAML, как показано ниже:
Код:
database: /tmp/mihari.db
thehive_api_endpoint: https://localhost
thehive_api_key: foo
virustotal_api_key: foo

Вы можете проверить статус конфигурации с помощью команды:
Код:
mihari status
 
Последнее редактирование модератором:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!