Sooty es una herramienta desarrollada con el objetivo de ayudar a los analistas SOC (Centro de Operaciones de Seguridad) a automatizar parte de su flujo de trabajo. Uno de los objetivos de Sooty es realizar el mayor número posible de comprobaciones rutinarias, permitiendo al analista dedicar más tiempo a un análisis más profundo en el mismo plazo. A continuación, se detallan muchas de las funciones de Sooty.
¡Sooty es ahora orgullosamente apoyado por Tines.io! La plataforma SOAR para los equipos de seguridad de las empresas.
![](https://github.com/TheresAFewConors/Sooty/blob/master/readmeimages/repcheck.gif?raw=true)
Características de Sooty
Sooty puede Actualmente:
- Sanear las URL para que sean seguras de enviar en los correos electrónicos
- Realizar reverse DNS y DNS lookups
- Realiza comprobaciones de reputación a partir de:
- Identificar si una dirección es potencialmente maliciosa, utilizada para el spam, los bots web:
- Comprobar si una dirección IP es un nodo de salida de TOR
- Decodificar URLs de Proofpoint, URLs codificadas en UTF-8, URLs de Office SafeLink, cadenas Base64 y contraseñas Cisco7.
- Obtener los hashes de los archivos y compararlos con VirusTotal (ver requisitos)
- Realizar búsquedas de WhoIs
- Comprobar los nombres de usuario y los correos electrónicos con HaveIBeenPwned para ver si se ha producido una brecha. (ver requisitos)
- Análisis sencillo de los correos electrónicos para recuperar las URL, los correos electrónicos y la información del encabezado.
- Extraer las direcciones IP de los correos electrónicos.
- Desacortar URL’s que han sido acortadas por servicios externos. (Limitado a 10 solicitudes por hora)
- Consultar URLScan.io para obtener informes de reputación.
- Analizar las direcciones de correo electrónico en busca de actividad maliciosa conocida e informar sobre la reputación del dominio utilizando EmailRep.io
- Crear plantillas de correo electrónico dinámicas que puedan utilizarse como base para la respuesta de triaje de phishing.(.msg solamente, .eml en una futura actualización)
- Realiza el enriquecimiento del análisis de los correos de phishing utilizando la base de datos HaveIBeenPwned, y puede identificar si una dirección de correo electrónico se ha visto comprometida en el pasado, cuándo ocurrió y dónde se produjo la brecha. (Requiere una clave API).
- Enviar URL’s a PhishTank. (ver requisitos)
- Desplegar URLs a través de la versión CLI de Unfurl.
- A continuación, encontrarás la lista completa y la distribución de las herramientas disponibles actualmente:
└── Main Menu
├── Sanitize URL's for use in emails
| └── URL Sanitizing Tool
├── Decoders
| ├── ProofPoint Decoder
| ├── URL Decoder
| ├── Office Safelinks Decoder
| ├── URL Unshortener
| ├── Base 64 Decoder
| ├── Cisco Password 7 Decoder
| └── Unfurl URL
├── Reputation Checker
| └── Reputation Checker for IP's, URL's or email addresses
├── DNS Tools
| ├── Reverse DNS Lookup
| ├── DNS Lookup
| └── WhoIs Lookup
├── Hashing Functions
| ├── Hash a File
| ├── Hash a Text Input
| ├── Check a hash for known malicious activity
| └── Hash a file and check for known malicious activity
├── Phishing Analysis
| ├── Analyze an Email
| ├── Analyze an email address for known malicious activity
| ├── Generate an email template based on analysis
| ├── Analyze a URL with Phishtank
| └── HaveIBeenPwned Lookup
├── URL Scan
| └── URLScan.io lookup
├── Extra's
| ├── About
| ├── Contributors
| ├── Version
| ├── Wiki
| └── Github Repo
└── Exit
![Versión de CLI Unfurl](https://esgeeks.com/wp-content/uploads/2021/08/Version-CLI-Unfurl.png)
![](https://github.com/TheresAFewConors/Sooty/blob/master/readmeimages/email_analysis.gif?raw=true)
Requisitos e Instalación
- Python 3.x
- Instalar todas las dependencias del archivo requirements.txt.
pip install -r requirements.txt
- Lanzar la herramienta navegando al directorio principal, y ejecutando con
python Sooty.py
, o simplementeSooty.py
- Se necesitan varias claves API para tener una funcionalidad completa con Sooty. Sin embargo, seguirá funcionando sin estas claves, sólo que sin la funcionalidad añadida que proporcionan. Los enlaces se encuentran a continuación:
- Sustituye la clave/key correspondiente en el archivo
example_config.yaml
, y cambia el nombre del archivo aconfig.yaml
, ejemplo de diseño abajo: - Para la compatibilidad con PhishTank, también se requiere un nombre de aplicación único como campo adicional. Simplemente actualiza el archivo
config.yaml
con tu nombre único.
![Requisitos API Key de Sooty](https://esgeeks.com/wp-content/uploads/2021/08/Requisitos-API-Key.png)
Lanzamiento con Docker
docker build -t sooty . && docker run --rm -it sooty
Hoja de Ruta
Este es un resumen de las características que vendrán en futuras versiones.
Versión 1.2 – La actualización del phishing
- Analiza los archivos adjuntos de los correos electrónicos en busca de contenido malicioso, macros, archivos, hashtags de análisis, etc.
Versión 1.3 – La actualización de las plantillas
Añade plantillas de correo electrónico dinámicas que se generan en base al análisis de Sooty.Edición: Se ha añadido- Verificar los registros MX
- Realizar la verificación de DKIM
Versión 1.4 – La actualización del análisis PCAP
- Añadir la capacidad de analizar los archivos .pcap y proporcionar información concisa y enriquecida.
Versión 1.x – La actualización del Case
- Añade una función de “New Case”, que permite que los resultados de la herramienta se envíen a un archivo txt.
Sooty (este enlace se abre en una nueva ventana) por TheresAFewConors (este enlace se abre en una nueva ventana)
The SOC Analysts all-in-one CLI tool to automate and speed up workflow.