Sooty: Herramienta CLI Todo en Uno de los Analistas del SOC

Sooty es una herramienta desarrollada con el objetivo de ayudar a los analistas SOC (Centro de Operaciones de Seguridad) a automatizar parte de su flujo de trabajo. Uno de los objetivos de Sooty es realizar el mayor número posible de comprobaciones rutinarias, permitiendo al analista dedicar más tiempo a un análisis más profundo en el mismo plazo. A continuación, se detallan muchas de las funciones de Sooty.

¡Sooty es ahora orgullosamente apoyado por Tines.io! La plataforma SOAR para los equipos de seguridad de las empresas.

Características de Sooty

Sooty puede Actualmente:

• Sanear las URL para que sean seguras de enviar en los correos electrónicos
• Realizar reverse DNS y DNS lookups
• Realiza comprobaciones de reputación a partir de:
  • VirusTotal
  • BadIP’s
  • Abuse IPDB
• Identificar si una dirección es potencialmente maliciosa, utilizada para el spam, los bots web:
  • Botvrij.eu
  • myip.ms
  • Firehol
• Comprobar si una dirección IP es un nodo de salida de TOR
• Decodificar URLs de Proofpoint, URLs codificadas en UTF-8, URLs de Office SafeLink, cadenas Base64 y contraseñas Cisco7.
• Obtener los hashes de los archivos y compararlos con VirusTotal (ver requisitos)
• Realizar búsquedas de WhoIs
• Comprobar los nombres de usuario y los correos electrónicos con HaveIBeenPwned para ver si se ha producido una brecha. (ver requisitos)
• Análisis sencillo de los correos electrónicos para recuperar las URL, los correos electrónicos y la información del encabezado.
• Extraer las direcciones IP de los correos electrónicos.
• Desacortar URL’s que han sido acortadas por servicios externos. (Limitado a 10 solicitudes por hora)
• Consultar URLScan.io para obtener informes de reputación.
• Analizar las direcciones de correo electrónico en busca de actividad maliciosa conocida e informar sobre la reputación del dominio utilizando EmailRep.io
• Crear plantillas de correo electrónico dinámicas que puedan utilizarse como base para la respuesta de triaje de phishing.(.msg solamente, .eml en una futura actualización)
• Realiza el enriquecimiento del análisis de los correos de phishing utilizando la base de datos HaveIBeenPwned, y puede identificar si una dirección de correo electrónico se ha visto comprometida en el pasado, cuándo ocurrió y dónde se produjo la brecha. (Requiere una clave API).
• Enviar URL’s a PhishTank. (ver requisitos)
• Desplegar URLs a través de la versión CLI de Unfurl.
• A continuación, encontrarás la lista completa y la distribución de las herramientas disponibles actualmente:

└── Main Menu
   ├── Sanitize URL's for use in emails
   |  └── URL Sanitizing Tool
   ├── Decoders
   |   ├── ProofPoint Decoder
   |   ├── URL Decoder
   |   ├── Office Safelinks Decoder
   |   ├── URL Unshortener
   |   ├── Base 64 Decoder
   |   ├── Cisco Password 7 Decoder
   |   └── Unfurl URL
   ├── Reputation Checker
   |   └── Reputation Checker for IP's, URL's or email addresses
   ├── DNS Tools
   |   ├── Reverse DNS Lookup
   |   ├── DNS Lookup
   |   └── WhoIs Lookup
   ├── Hashing Functions
   |   ├── Hash a File
   |   ├── Hash a Text Input
   |   ├── Check a hash for known malicious activity
   |   └── Hash a file and check for known malicious activity
   ├── Phishing Analysis
   |   ├── Analyze an Email
   |   ├── Analyze an email address for known malicious activity
   |   ├── Generate an email template based on analysis
   |   ├── Analyze a URL with Phishtank
   |   └── HaveIBeenPwned Lookup
   ├── URL Scan
   |   └── URLScan.io lookup
   ├── Extra's
   |   ├── About
   |   ├── Contributors
   |   ├── Version
   |   ├── Wiki
   |   └── Github Repo
   └── Exit

Requisitos e Instalación

• Python 3.x
• Instalar todas las dependencias del archivo requirements.txt. pip install -r requirements.txt
• Lanzar la herramienta navegando al directorio principal, y ejecutando con python Sooty.py, o simplemente Sooty.py
• Se necesitan varias claves API para tener una funcionalidad completa con Sooty. Sin embargo, seguirá funcionando sin estas claves, sólo que sin la funcionalidad añadida que proporcionan. Los enlaces se encuentran a continuación:
  • VirusTotal API Key
  • URLScan.io API Key
  • AbuseIPDB API Key
  • HaveIBeenPwned API Key
  • PhishTank API Key
  • EMAILREP API KEY
• Sustituye la clave/key correspondiente en el archivo example_config.yaml, y cambia el nombre del archivo a config.yaml, ejemplo de diseño abajo:
• Para la compatibilidad con PhishTank, también se requiere un nombre de aplicación único como campo adicional. Simplemente actualiza el archivo config.yaml con tu nombre único.

Lanzamiento con Docker

docker build -t sooty . && docker run --rm -it sooty

Hoja de Ruta

Este es un resumen de las características que vendrán en futuras versiones.

Versión 1.2 – La actualización del phishing

• Analiza los archivos adjuntos de los correos electrónicos en busca de contenido malicioso, macros, archivos, hashtags de análisis, etc.

Versión 1.3 – La actualización de las plantillas

• Añade plantillas de correo electrónico dinámicas que se generan en base al análisis de Sooty. Edición: Se ha añadido
• Verificar los registros MX
• Realizar la verificación de DKIM

Versión 1.4 – La actualización del análisis PCAP

• Añadir la capacidad de analizar los archivos .pcap y proporcionar información concisa y enriquecida.

Versión 1.x – La actualización del Case

• Añade una función de “New Case”, que permite que los resultados de la herramienta se envíen a un archivo txt.

Dark Mode

Sooty (este enlace se abre en una nueva ventana) por TheresAFewConors (este enlace se abre en una nueva ventana)

The SOC Analysts all-in-one CLI tool to automate and speed up workflow.

62 suscriptores 1278 observadores 203 forks Echa un vistazo a este repositorio en GitHub.com (este enlace se abre en una nueva ventana)