Nueva versión de TheTHE con plugins de URLScan y MalwareBazaar

Llega por primera vez a tus manos algún IOC. Pongamos un hash, URL, IP o dominio sospechoso. Necesitas conocer cierta información básica. ¿Es malware? ¿Está en algún repositorio? ¿Desde qué fecha? ¿Whois? ¿País de origen? ¿Está en pastebin? Ahora, con la nueva versión, es todavía más fácil.

Comienzas a abrir pestañas, a meter contraseñas en los diferentes servicios y comienzan las consultas. Con suerte tienes una API compartida con algún compañero de trabajo y después de consultar varios sistemas, abres un TXT para pasar a limpio la información a la plataforma de inteligencia. Tu compañero de trabajo, con el que compartes esas APIs y esas contraseñas pero que está en otro lugar del mundo en tu equipo, hace lo mismo porque también le ha llegado el mismo IOC. Esto se acabó con TheTHE.

¿Qué hay de nuevo?

Hemos trabajado para mejorar sustancialmente la herramienta. Algunas de estas interesantes mejoras son:

• Hemos agregado un buscador global de IOCs: ahora es posible buscar cualquier IOC que esté en TheTHE desde un buscador al que se le irá ampliando la funcionalidad con nuevas características.

• Hemos mejorado la interfaz de selección de proyectos: ahora incluye información adicional y es posible ordenar la lista de diversas formas.

• Hemos creado un nuevo gestor de etiquetado que incluye la creación de tags con iconos. Además, ahora es posible eliminar un tag creado y propagar los cambios por el sistema.
•  Ahora el instalador (install.sh) te preguntará por las variables del sistema que quieres establecer si no detecta la presencia de un archivo .env con las variables necesarias para iniciar el entorno.
• Hemos creado un escáner de IOCs que detecta y extrae IOCs de los resultados de los plugins. Además, ahora es posible borrar los IOCs que no nos interesen de la lista de detectados.

• Se agregan los siguientes plugins con sus respectivas vistas en el interfaz: URLScan y MalwareBazaar.

The Threat Hunting Environment 

Presentamos esta herramienta en la Black Hat 2019 de Londres, donde recibió una muy buena acogida entre su público objetivo: investigadores, SOCs, equipos de Threat Hunting, empresas de seguridad, CERTs, etc. TheTHE es un entorno libre y gratuito destinado a ayudar a los analistas y hunters durante las primeras fases de su trabajo para que sea más sencillo, rápido y unificado. Uno de los mayores problemas a la hora de realizar hunting o investigación de IOCs (Indicadores de Compromiso) es lidiar con la recolección inicial de tal cantidad de información de tantas fuentes, públicas y privadas. 

Toda esta información está habitualmente dispersa e incluso a veces es volátil. Quizás en algún punto no exista información de un cierto IOC, pero esta situación puede variar en cuestión de horas y volverse crucial para una investigación. Basada en nuestra experiencia en Threat Hunting, hemos creado este framework libre y open source para que las primeras etapas de la investigación sean más simples: 

• Los IOCs son tuyos: no salen de tu plataforma ni son compartidos. 
• Gratis y libre: dockerizado y totalmente tuyo. 
• Arquitectura cliente servidor: La investigación puede ser compartida con tu equipo. 
• Los resultados son cacheados para que no se malgasten peticiones a las APIs. 
• Alimenta mejor tu Threat Intelligence Platform: TheTHE permite que las investigaciones previas sean más rápidas y sencillas. 
• Plugins fáciles: cualquier cosa que se necesita es fácilmente incrustable en la interfaz.
• Ideal para SOCs, CERTS y cualquier equipo. 
• Las APIkeys se almacenan en una base de datos y pueden ser compartidas por un equipo desde un único punto. 
• Automatización de tareas y búsquedas. 
• Procesamiento rápido de APIs de múltiples herramientas. 
• Unificación de la información en una única interfaz: para que así las capturas de pantalla, hojas de cálculo, archivos de texto, etc. no estén dispersos. 
• Monitoreo periódico de un IOC en caso de que aparezca nueva información o movimientos relacionados con él (disponible en próximas versiones).

TheTHE dispone de una interfaz donde el analista introduce los IOCs que serán enviados al backend. El sistema automáticamente buscará esos recursos (a través de plugins) en varias plataformas ya configuradas para obtener información uniforme desde diferentes fuentes y acceso a reportes relacionados o datos ya existentes.