怒放的生命,PHP-Iocextract:高級侵入威协标志符IoC获取专用工具-188bet体育_188bet_188bet体育官网

西甲联赛 291℃ 0

东西介绍

Python-Iocextract是一款高档侵略要挟标识符IoC提取东西,它能够从文本语料库提取URL、IP地址、MD5/SHA哈希、电子邮件地址和YARA规矩,其间还包括某些已编码或已被“损坏”的侵略要挟标识符。

由于网络犯罪分子为了避免露出自己的歹意活动以及进犯内容,一般都会想办法“损坏”相似URL和IP地址这样的侵略要挟标识符。在这种状况下,有用提取和汇总这些IoC关于安全剖析人员来说就十分有价值了。但不幸的是,关于现有的IoC提取东西来说,规范的正则表达式往往无法捕捉到这些东西。

比如说,下面这个样本就运用了括号来进行IoC躲藏:

127[.]0[.]0苏黎世[.]1

这种状况下,根据简略正则表达式匹配的东西就无法提取出这种IoC了。

可是关于Python-Iocextract来说,状况就不相同了。经过运用精心设计的正则表达式以及反混杂检测技能,咱们既能够检测到“被损坏”的IoC,也能够复原初始的IoC,为剖析人员节省了时刻和精力。

盛开的生命,PHP-Iocextract:高級侵入威协标志符IoC获取专用东西-188bet体育_188bet_188bet体育官网
黄宏女儿

东西装置

晃奶

在运用Python-Iocextract之前,咱们需求装置Python开发环境以及regex依靠。在Ubuntu和Debian等Linux体系中,能够运用下列指令完结装置:

sudo apt-get install python-dev

接下来,运用pip指令装置iocextract:

pip install盛开的生命,PHP-Iocextract:高級侵入威协标志符IoC获取专用东西-188bet体育_188bet_188bet体育官网 iocextract pip install regex-2018.06.21-cp27-none-win_amd64.whl 东西运用

提取某些已被损坏的URL地址:

>>>content = """

... Ireally love example[.]com!

...All the bots are on hxxp://example.com/bad/url these days.

...C2: tcp://example[.]com:8989/bad

..."""

>>>import iocextract

>>>for url in iocextract.extract_urls(content):

... print url

...宝宝发烧手脚冰凉

hxxp://example.com/bad/url

tcp://example[.]com:8989/bad

example[.]com

tcp://example[.]com:8989/bad

假如匹配到多个正则表达式的话,或许会有某些URL地址呈现两次。

假如有需求的话,你还能够复原IoC并移除某些常见的混杂技能:

>>>for url in iocextract.extract_urls(content, refang=True):

... 盛开的生命,PHP-Iocextract:高級侵入威协标志符IoC获取专用东西-188bet体育_188bet_188bet体育官网print url

...

http://example.com/bad/url

http://example.com:8989/bad

http://example.com

http://example.com:8989/bad

你乃至还能够提取并解码十六进制编码或Base64编码的URL地址:

>>>content ='612乱轮小说062756e6368206f6620776f72647320687474703a2f2f6578616d706c652e636f6d2f70617468206d6f726520776f726473'

>>>for url in iocextract.extract_urls(content):

... print url

...

687474703a2f2f6578616d706c652e636f6d2f70617468

>>>新捷达for url in iocextract.extract_被轮urls(content, refang=True):

... p盛开的生命,PHP-Iocextract:高級侵入威协标志符IoC获取专用东西-188bet体育_188bet_188bet体育官网rint url

...

http://example.com/path

该东西中所有的extract_*函数回来的都是迭代器,而不是列表。因而,iocextract能够处理很多数据输入。但假如你想要迭代处理屡次IoC,你将需求把成果存储为列表:

正常血压规模

>>>list(iocextract.extract_urls(content))

['hxxp://example.com/bad/url','tcp://example[.]com:8989/b度娘ad', 'example[.]com','tcp://example[.]com:8989/bad']

指令行东西还包括:

$iocextract -h

usage:iocextract [-h] [魂灵伴侣--input INPUT] [--output OUTPUT] [--extract-emails]

[--extract-ips] [--extract-ipv4s][--extract-ipv6s]

[-威士忌怎么喝-盛开的生命,PHP-Iocextract:高級侵入威协标志符IoC获取专用东西-188bet体育_188bet_188bet体育官网extract-urls] [--extract-yara-rules][--extract-hashes]

[--custom-regex REGEX_FILE][--refang] [--strip-url盛开的生命,PHP-Iocextract:高級侵入威协标志符IoC获取专用东西-188bet体育_188bet_188bet体育官网s]

[--wid工程师e]

AdvancedIndicator of Compromise (IOC) extractor. If no arguments are

specified,the default behavior is to extract all IOCs.

optional arguments:

-h, --help show this help message and exit

--input INPUT default: stdin

--output OUTPUT default: stdou欢爱t

--extract-emails

--extract-ips

--extract-ipv4s

--extract-ipv6s

--extract-urls

--extract-yara-rules

--extract-hashes

--custom-regex REGEX_FILE

file with custom regexstrings, one pe小女子打针r line, with one

capture group each

--refang default: no

--strip-urls remove possible garbage from the end牛六记of urls. de盛开的生命,PHP-Iocextract:高級侵入威协标志符IoC获取专用东西-188bet体育_188bet_188bet体育官网fault:

no

--wide preprocess input to allowwide-encoded character

matches. default: no

现在,该东西只支撑康复URL、电子邮件以及IPv4爱你一万年地址。

Python-Iocextract支撑的IoC IP地址

1、 彻底支撑IPv4

2、 部分支撑IPv6

URL地址

暴君求欢

1、 协议标识符:http, https, tcp,udp, ftp, sftp, ftps

2、 [.]锚点

3、 十六进制编码URL:http, https, ftp

4、 URL编码URL:http, https, ftp, ftps, sftp

5、 Base64编码URL:http, https, ftp

电子邮件地址

支撑部分@或at锚点

YARA规矩

导入、包括和注释

哈希

1、 MD5

2、 SHA1

3、 SHA256

4、 SHA512

针对IPv4地址,支撑扫描下列混杂技能:

针对电子邮件地址,支撑扫描下列混杂技能:

针对URL地址,支撑扫描下列蒋玉琴混杂技能:

项目地址

Python-Iocextract:【】

* 参阅来历:inquest,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间服务。
poor
标签: 岩台县

  根维生素据银行的财物规划和其他

八大菜系,美联储:放松对符合规定银行的资本和流动性要求-188bet体育_188bet_188bet体育官网