Desarmando (defang) IOCs like a sir

La Inteligencia Técnica tiene como uno de sus principales objetivos la obtención de Indicadores de Compromiso (IOCs): hashes, IPs, URLs, emails o dominios, los cuáles son normalmente enviados al SOC y a los equipos de Respuesta ante Incidentes para su tratamiento. 

Estos observables tienen una vida útil corta pero pueden ser muy adecuados de cara a detectar y/o bloquear una amenaza actual. Sin embargo, estos IoCs también pueden convertirse en peligrosos enlaces sobre los que los analistas pueden hacer clic por error afectando a la seguridad del equipo, filtrar datos o contaminar las estadísticas. Por ello, normalmente lo que se hace es "desarmar" (defang) los IOCs previamente cambiando y añadiendo caracteres para que no sean "clickables" a la vez que siguen siendo legibles para el ojo humano. 

Por ejemplo: "https://www.hackplayers.com/" se reemplazaría por "hXXps://www.hackplayers[.]com/" 

Por supuesto, tenemos muchas opciones para automatizar esta tarea y, cómo no, Python tiene un "módulo de defang" disponible: https://pypi.python.org/pypi/defang. Para instalarlo, simplemente usamos pip:

# pip install defang
Y a correr:
$ echo "http://www.hackplayers.com/" | defang
hXXp://www.hackplayers[.]com/
También podemos procesar todas las URLs de un fichero:
$ defang -i IOCs.txt | tee IOCs.txt.safe
hXXp://www.saisoncard-jp[.]icu/WebPc/
hXXp://www.hotescort[.]gr/snid.rnpc/cesni.php
hXXp://www.app.uniswap.liquidity-holder[.]com/
hXXp://www.amaonazon[.]buzz/
hXXp://www.amaoamazon[.]xyz/
Y desde el intérprete de Python:
$ python3
Python 3.6.9 (default, Jan 26 2021, 15:33:00) 
[GCC 8.4.0] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> from defang import defang
>>> u="http://www.hackplayers.com/"
>>> defang(u)
'hXXp://www.hackplayers[.]com/'
>>> 

Comentarios