Nova versão do TheTHE com plug-ins URLScan e MalwareBazaar

Um COI chega às suas mãos pela primeira vez. Vamos colocar um  hash , URL, IP ou domínio suspeito. Você precisa saber algumas informações básicas. É  malware ? Está em um repositório? Desde aquela data?  País de origem? Está no  pastebin ? Agora, com a nova versão, ficou ainda mais fácil.

Você começa a abrir abas, inserir senhas nos diversos serviços e as consultas começam. Esperançosamente, você tem uma API compartilhada com um colega de trabalho e após consultar vários sistemas,  você abre um TXT para limpar as informações para a plataforma de inteligência.  Seu colega de trabalho, com quem você compartilha essas APIs e senhas, mas que está em outra parte do mundo no seu computador, faz o mesmo porque o mesmo IOC também chegou. Isso acabou com TheTHE. 

O que há de novo?

Trabalhamos para melhorar substancialmente a ferramenta. Algumas dessas melhorias interessantes são:

• Adicionamos um mecanismo de pesquisa global para IOCs: agora é possível pesquisar qualquer IOC que esteja no TheTHE a partir de um mecanismo de pesquisa que será expandido com novos recursos.

• Melhoramos a interface de seleção de projetos: agora inclui informações adicionais e a lista pode ser classificada de várias maneiras.

• Criamos um novo gerenciador de tags que inclui a criação de tags com ícones. Além disso, agora é possível excluir uma tag criada e propagar as alterações por todo o sistema.
•  Agora, o instalador (install.sh) solicitará as variáveis ​​de sistema que você deseja definir se não detectar a presença de um arquivo .env com as variáveis ​​necessárias para iniciar o ambiente.
• Criamos um scanner IOC que detecta e extrai IOCs dos resultados do plug – in . Além disso, agora é possível excluir da lista de detectados os IOCs nos quais não estamos interessados.

• Os seguintes plug-ins são adicionados com suas respectivas visualizações na interface: URLScan e MalwareBazaar.

O ambiente de caça às ameaças 

Apresentamos esta ferramenta na Black Hat 2019 em Londres , onde foi muito bem recebida pelo seu público-alvo: pesquisadores, SOCs, equipes de Threat Hunting , empresas de segurança, CERTs, etc.  OTHE é um ambiente livre e aberto projetado para ajudar analistas e  caçadores  durante os estágios iniciais de seu trabalho para torná-lo mais fácil, rápido e unificado. Um dos maiores problemas ao  caçar  ou pesquisar IOCs (Indicadores de Compromisso) é lidar com a coleta inicial de uma quantidade tão grande de informações de tantas fontes, públicas e privadas. 

Todas essas informações geralmente são dispersas e às vezes até voláteis. Talvez em algum momento não haja informações sobre um determinado COI, mas essa situação pode mudar em questão de horas e tornar-se crucial para uma investigação. Com base em nossa experiência em  Threat Hunting , criamos esta  estrutura de código aberto  e gratuita   para simplificar os primeiros estágios da investigação: 

• Os IOCs são seus: eles  não saem de sua plataforma nem são compartilhados. 
• Grátis e grátis: encaixado e totalmente seu. 
• Arquitetura cliente-servidor: a  pesquisa pode ser compartilhada com sua equipe. 
• Os resultados são armazenados em cache  para que as solicitações às APIs não sejam desperdiçadas. 
• Alimente melhor sua  plataforma de inteligência de ameaças:  OTHE torna as investigações preliminares mais rápidas e fáceis. 
• Plugins fáceis – Tudo o que você precisa pode ser facilmente incorporado na interface.
• Ideal para SOCs, CERTS e qualquer equipe. 
• As chaves API  são armazenadas em um banco de dados e podem ser compartilhadas por uma equipe a partir de um único ponto. 
• Automação de tarefas e pesquisas. 
• Processamento rápido de APIs  de várias ferramentas. 
• Unificação de informações em uma única interface:  para que capturas de tela, planilhas, arquivos de texto, etc. não estão espalhados. 
• Monitoramento periódico de um IOC  caso apareçam novas informações ou movimentos relacionados a ele (disponível em versões futuras).

OTHE possui uma interface onde o analista entra nos IOCs que serão enviados ao back –  end. O sistema buscará automaticamente esses recursos (por meio de plugins) em várias plataformas já configuradas para obter informações uniformes de diferentes fontes e acesso a relatórios relacionados ou dados existentes.