Sooty是一款专为SoC安全分析人员设计的一体化CLI工具,该工具实现了高度自动化任务流,可以辅助加快SoC分析工作流程。
Sooty 的目标之一是执行尽可能多的常规检查,让分析师在相同的时间范围内有更多时间进行更深入的分析。
1、净化 URL 以确保可以安全发送电子邮件;
2、执行反向 DNS 和 DNS 查找;
3、执行外部威胁源检查:VirusTotal、BadIP's、Abuse IPDB;
4、识别地址是否潜在恶意、用于垃圾邮件、网络机器人:
5、检查 IP 地址是否为 TOR 出口节点;
6、解码 Proofpoint URL、UTF-8 编码的 URL、Office SafeLink URL、Base64 字符串和 Cisco7 密码;
7、获取文件哈希并将其与VirusTotal进行比较;
8、执行 WhoIs 查询;
9、根据HaveIBeenPwned检查用户名和电子邮件,查看是否发生了违规行为;
10、对电子邮件进行简单分析以检索 URL、电子邮件和标题信息;
11、从电子邮件中提取 IP 地址;
12、取消缩短由外部服务缩短的URL;
13、查询URLScan.io报告;
14、分析电子邮件地址是否存在已知恶意活动,并利用EmailRep.io报告域名威胁;
15、创建可用作网络钓鱼分类响应基础的动态电子邮件模板;
16、使用 HaveIBeenPwned 数据库对网络钓鱼邮件进行丰富的分析,并可以识别电子邮件地址过去是否被泄露、何时发生以及泄露发生在何处;
17、将 URL 提交给PhishTan;
asn1crypto==0.24.0
certifi==2019.6.16
cffi==1.14.5
chardet==3.0.4
cryptography==3.3.2
dfir-unfurl==20200812
dnspython==1.16.0
idna==2.8
ipwhois==1.1.0
pycparser==2.19
pyOpenSSL==19.0.0
PySocks==1.7.0
pywin32==301; sys_platform == 'win32'
requests==2.22.0
six==1.12.0
strictyaml==1.0.6
urllib3==1.25.9
win-inet-pton==1.1.0
wincertstore==0.2
wget==3.2
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/TheresAFewConors/Sooty.git
然后切换到项目目录中,使用pip命令和项目提供的requirements.txt安装该工具所需的其他依赖组件:
cd Sootypip install -r requirements.txt
在使用工具之前,需要编辑example_config.yaml,添加对应的API密钥,并将文件重命名为config.yaml:
运行下列命令即可启动Sooty:
python Sooty.py
本项目的开发与发布遵循GPL-3.0开源许可协议。
Sooty:
https://github.com/TheresAFewConors/Sooty
https://www.virustotal.com/ https://www.badips.com/ https://www.abuseipdb.com/ https://botvrij.eu/ https://myip.ms/ https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/nixspam.ipset
