Python-Iocextract:高级入侵威胁标识符IoC提取工具

最新推荐文章于 2023-05-15 21:52:26 发布
最新推荐文章于 2023-05-15 21:52:26 发布
阅读量667 收藏
点赞数
分类专栏: Python 文章标签: Python

工具介绍

Python-Iocextract是一款高级入侵威胁标识符IoC提取工具,它可以从文本语料库提取URL、IP地址、MD5/SHA哈希、电子邮件地址和YARA规则,其中还包括某些已编码或已被“破坏”的入侵威胁标识符。

因为网络犯罪分子为了防止暴露自己的恶意活动以及攻击内容,通常都会想办法“破坏”类似URL和IP地址这样的入侵威胁标识符。在这种情况下,有效提取和汇总这些IoC对于安全分析人员来说就非常有价值了。但不幸的是,对于现有的IoC提取工具来说,标准的正则表达式往往无法捕捉到这些东西。

比如说,下面这个样本就使用了括号来进行IoC隐藏:

Python学习交流群:1004391443

127[.]0[.]0[.]1

这种情况下,基于简单正则表达式匹配的工具就无法提取出这种IoC了。

但是对于Python-Iocextract来说,情况就不一样了。通过使用精心设计的正则表达式以及反混淆检测技术,我们既可以检测到“被破坏”的IoC,也可以还原初始的IoC,为分析人员节省了时间和精力。

工具安装

在使用Python-Iocextract之前,我们需要安装Python开发环境以及regex依赖。在Ubuntu和Debian等Linux系统中,可以使用下列命令完成安装:

sudo apt-get install python-dev

接下来,使用pip命令安装iocextract:

pip install iocextract

在Windows平台下,点击【这里】下载regex安装包:

pip install regex-2018.06.21-cp27-none-win_amd64.whl

工具使用

提取某些已被破坏的URL地址:

>>>content = """... Ireally love example[.]com!...All the bots are on hxxp://example.com/bad/url these days....C2: tcp://example[.]com:8989/bad...""">>>import iocextract>>>for url in iocextract.extract_urls(content):...     print url...hxxp://example.com/bad/urltcp://example[.]com:8989/badexample[.]comtcp://example[.]com:8989/bad

如果匹配到多个正则表达式的话,可能会有某些URL地址出现两次。

如果有需要的话,你还可以还原IoC并移除某些常见的混淆技术:

  •  
>>>for url in iocextract.extract_urls(content, refang=True):...     print url...http://example.com/bad/urlhttp://example.com:8989/badhttp://example.comhttp://example.com:8989/bad
你甚至还可以提取并解码十六进制编码或Base64编码的URL地址:
>>>content =\\\'612062756e6368206f6620776f72647320687474703a2f2f6578616d706c652e636f6d2f70617468206d6f726520776f726473\\\'>>>for url in iocextract.extract_urls(content):...     print url...687474703a2f2f6578616d706c652e636f6d2f70617468>>>for url in iocextract.extract_urls(content, refang=True):...     print url...http://example.com/path

该工具中所有的extract_*函数返回的都是迭代器,而不是列表。因此,iocextract可以处理大量数据输入。但如果你想要迭代处理多次IoC,你将需要把结果存储为列表:

  •  
>>>list(iocextract.extract_urls(content))[\\\'hxxp://example.com/bad/url\\\',\\\'tcp://example[.]com:8989/bad\\\', \\\'example[.]com\\\',\\\'tcp://example[.]com:8989/bad\\\']
命令行工具还包括:
  •  
$iocextract -husage:iocextract [-h] [--input INPUT] [--output OUTPUT] [--extract-emails]              [--extract-ips] [--extract-ipv4s][--extract-ipv6s]              [--extract-urls] [--extract-yara-rules][--extract-hashes]              [--custom-regex REGEX_FILE][--refang] [--strip-urls]              [--wide] AdvancedIndicator of Compromise (IOC) extractor. If no arguments arespecified,the default behavior is to extract all IOCs. optional arguments:  -h, --help            show this help message and exit  --input INPUT         default: stdin  --output OUTPUT       default: stdout  --extract-emails  --extract-ips  --extract-ipv4s  --extract-ipv6s  --extract-urls  --extract-yara-rules  --extract-hashes  --custom-regex REGEX_FILE                        file with custom regexstrings, one per line, with one                        capture group each  --refang              default: no  --strip-urls          remove possible garbage from the endof urls. default:                        no  --wide                preprocess input to allowwide-encoded character                        matches. default: no
目前,该工具只支持恢复URL、电子邮件以及IPv4地址。

Python-Iocextract支持的IoC

IP地址

1、 完全支持IPv4

2、 部分支持IPv6

URL地址

1、 协议标识符:http, https, tcp,udp, ftp, sftp, ftps

2、 [.]锚点

3、 十六进制编码URL:http, https, ftp

4、 URL编码URL:http, https, ftp, ftps, sftp

5、 Base64编码URL:http, https, ftp

电子邮件地址

支持部分@或at锚点

YARA规则

导入、包含和注释

哈希

1、 MD5

2、 SHA1

3、 SHA256

4、 SHA512

针对IPv4地址,支持扫描下列混淆技术:

 

 

 

 

 

针对电子邮件地址,支持扫描下列混淆技术:

 

 

 

 

针对URL地址,支持扫描下列混淆技术:

 

 

 

Python资深程序员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Lupo:一款功能强大的恶意软件IoC提取
小王的储物间
02-07 442
Lupo是一个动态分析工具,可以作为调试器的模块使用。在处理涉及恶意软件的安全事件时,我们经常会遇到这样的情况:由于许多因素(时间、技能、规模等),不可能对每一个案例都进行完整的手动分析,因此我们觉得需要自动化分析其中的一部分内容。该工具基于C++开发, 支持使用Windows调试框架来执行代码,该工具也可以作为插件与WinDbg结合使用,以帮助广大研究人员自动化实现恶意软件分析。Lupo是一款功能强大的恶意软件IoC提取工具,可以帮助广大研究人员在恶意软件分析自动化的任务场景下实现恶意代码分析和调试。
python-dependency-injector:Python的依赖项注入框架
02-05
**Python依赖注入框架——python-dependency-injector** 在软件工程中,依赖注入(Dependency Injection,简称DI)是一种设计模式,它有助于降低组件之间的耦合,提高代码的可测试性和可维护性。Python中的`python-...
python-iocextract:损坏的指示器(IOC提取
02-03
python-iocextract:损坏的指示器(IOC提取
数据平民化之路(一)— IOC数据提取
colorknight的专栏
03-02 642
威胁情报的有效性取决于情报数据的广度和深度,主流的服务商会及时更新和同步最新的威胁分析过程,并提供相关的IOC数据,这些数据分散在不同的公众号、网页、博客、微博等平台上。而公开的威胁情报数据大多以报告、图片、网页等形式存在与网络中,对于各个需求组织来说,如果将这些数据快速转化为有价值的情报数据,一方面可以弥补不同服务商间的情报数据差距,快速补齐威胁情报数据,另一方面也节省一部分开支。以上是对于互联网侧公开的源数据进行提取、加工、处理的整个处理过程,可以批量处理含有IOC数据的HTML、图片、PDF等文件。
python提取iocs(extract_iocs模块)
Liquor的博客
11-19 750
简介 extract_iocs 是一个 Python 模块,可从文本中提取入侵指标 (IOC),包括域名、IPv4 地址、电子邮件地址和哈希值。它使用了一些巨大而丑陋的正则表达式,具有特殊处理来识别具有相对较低误报率的域名,并尝试通过换行符提取 IOC。 第一步 下载安装包 pip install extract_iocs 第二步 示例代码 import os from extract_iocs import extract_iocs def _get_iocs(text): """Get IOC
python入侵手机_Python-Iocextract高级入侵威胁标识符IoC提取工具
weixin_39664431的博客
11-29 554
工具介绍Python-Iocextract是一款高级入侵威胁标识符IoC提取工具,它可以从文本语料库提取URL、IP地址、MD5/SHA哈希、电子邮件地址和YARA规则,其中还包括某些已编码或已被“破坏”的入侵威胁标识符。因为网络犯罪分子为了防止暴露自己的恶意活动以及攻击内容,通常都会想办法“破坏”类似URL和IP地址这样的入侵威胁标识符。在这种情况下,有效提取和汇总这些IoC对于安全分析人员来说...
easy-ioc:一个简单的IOC容器实现
05-14
《深入解析:easy-ioc——一个简单的IOC容器实现》 在软件开发中,控制反转(Inversion of Control,简称IOC)是一种设计模式,它将对象的创建和组装过程从代码中解耦,使得系统更加灵活、可维护。而依赖注入...
streamdevice-ioc:用于Sirius控制系统的基于StreamDevice的EPICS IOC
03-19
Sirius流设备IOC 该存储库包含一个系统,该系统可通过字符串模板使用Excel电子表格作为输入来生成大量EPICS IOC。 以下是应用程序和端口的列表: 港口 设备 5000 计算PRU 5002 mks937b 5003 临时 5004 agilent4...
swift-ioc:最少的纯Swift IOCDI容器实现
05-09
这是一个简单的Swift IOC容器实现。 整个实现包含在一个文件中(不带双关语),用于快速复制和粘贴到您的项目中。 特征 简单的API。 最小的概念。 小文件。 最少的代码(少于100个LOC(不含文档))。 一个文件...
免费IOC图标抓取工具(支持从*.exe|*.dll|*.ico|*.bmp|*.ICL抓取图标)
09-29
工具支持从*.exe|*.dll|*.ico|*.bmp|*.ICL等格式文件中抓取你看中的所有图标,快来试一试吧。
软件联盟IOC图标提取软件(图标提取器)v1.0免费绿色版
07-25
IOC图标其实就是浏览器首段图标显示,你的工作如果需要提取这些图片,那小编有个好软件,就是软件联盟IOC图标提取软件,这款图标提取器可以提取文件ICO图标以及程序内部所有图标,提取成功后的图片为原大小,不失原色,几乎保留了原来的任何属性,想提取图标的用户,使用软件联盟IOC图标提取软件非常不错。 软件联盟IOC图标提取软件使用说明: 可以提取任何一个EXE应用程序的图标,并且将他保存为ICO格
iocminion:只是另一个从文件中提取危害指标(IOC)的工具
05-05
咬合 =======只是另一个从文件中提取IOC工具。 此工具具有从以下来源提取IOC的功能:pdf文档,包含pdf的url,包含url的文本文件,来自电子邮件和rss feed的ioc。 它还执行白名单以防止误报。 它使用文件whitelist.dat和alexa的前1m个文件。 要求 gmail python lib BeautifulSoup库 pdfminer库 ElementTree库 python-magic lib可以运行以下命令进行安装:apt-get install python-magic 用法 ====== usage: iocminion.py [-h] [--rss RSS] [--url_file URL_FILE] [--url URL] [--pdf PDF] [--email EMAIL EMAIL]
IOC图标提取
11-02
小小的图标提取器,比如桌面上的图标可自己截取装换为自己喜欢的
威胁情报--从IOC命中到安全分析的“催化剂”
03-21
网络安全分析与情报大会ppt,主要是华泰证券 安全总监 张嵩的演讲内容
IOC:这就是IOC,将对象的创建和获取提取到外部。由外部容器提供需要的组件
weixin_34308389的博客
05-16 148
http://dev.csdn.net/develop/article/30/30672.shtm
网安学习——什么是IOC
最新发布
xyx112的博客
05-15 4507
不属于系统目录的文件或可疑 IP 地址。IOC 是“确凿证据”,即已遭受损害的事后指标。网络安全专业人员利用 IoC 来调查事件造成的影响,并训练他们的工具和技术,以更好地检测和隔离日后可能出现的威胁入侵指标 (IOC, Indicators of Compromise)[1],指的是在网络或设备上发现的数据物件,可作为系统疑遭入侵的证据。
Spring IOC的原理及详解
qq_24095055的博客
03-21 3272
文章目录IOC简介IOC的初始化1 准备2 读取3 解析注册注入依赖 IOC简介 为了解决对象之间的耦合度过高的问题,软件专家Michael Mattson提出了IOC理论,用来实现对象之间的“解耦” 软件系统在没有引入IOC容器之前,对象A依赖于对象B,那么对象A在初始化或者运行到某一点的时候,自己必须主动去创建对象B或者使用已经创建的对象B。无论是创建还是使用对象B,控制权都在自己手上...
BlockingQueue 阻塞队列
qq_22343483的博客
08-22 367
BlockingQueue 通常用于一个线程生产对象,而另外一个线程消费这些对象的场景。下图是对这个原理的阐述: 一个线程往里边放,另外一个线程从里边取。 一个线程将会持续生产新对象并将其插入到队列之中,直到队列达到它所能容纳的临界点。也就是说,它是有限 的。如果该阻塞队列到达了其临界点,负责生产的线程将会在往里边插入新对象时发生阻塞。它会一直处于阻塞之中, 直到负责消费的线程从队列中拿走一个对...
python3爬虫,最短时间实现(二)
u012935756的专栏
05-17 839
爬虫框架,set,deque的基本操作,正则表达式的了解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值