Estos observables tienen una vida útil corta pero pueden ser muy adecuados de cara a detectar y/o bloquear una amenaza actual. Sin embargo, estos IoCs también pueden convertirse en peligrosos enlaces sobre los que los analistas pueden hacer clic por error afectando a la seguridad del equipo, filtrar datos o contaminar las estadísticas. Por ello, normalmente lo que se hace es "desarmar" (defang) los IOCs previamente cambiando y añadiendo caracteres para que no sean "clickables" a la vez que siguen siendo legibles para el ojo humano.
Por ejemplo: "https://www.hackplayers.com/" se reemplazaría por "hXXps://www.hackplayers[.]com/"
Por supuesto, tenemos muchas opciones para automatizar esta tarea y, cómo no, Python tiene un "módulo de defang" disponible: https://pypi.python.org/pypi/defang. Para instalarlo, simplemente usamos pip:
# pip install defang
$ echo "http://www.hackplayers.com/" | defang
hXXp://www.hackplayers[.]com/$ defang -i IOCs.txt | tee IOCs.txt.safe
hXXp://www.saisoncard-jp[.]icu/WebPc/
hXXp://www.hotescort[.]gr/snid.rnpc/cesni.php
hXXp://www.app.uniswap.liquidity-holder[.]com/
hXXp://www.amaonazon[.]buzz/
hXXp://www.amaoamazon[.]xyz/$ python3
Python 3.6.9 (default, Jan 26 2021, 15:33:00)
[GCC 8.4.0] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> from defang import defang
>>> u="http://www.hackplayers.com/"
>>> defang(u)
'hXXp://www.hackplayers[.]com/'
>>>
Comentarios
Publicar un comentario