TheTHE: The Threat Hunting Environment en la RSA

Llega por primera vez a tus manos algún IOC. Pongamos un hash, URL, IP o dominio sospechoso. Necesitas conocer cierta información básica. ¿Es malware? ¿Está en algún repositorio? ¿Desde qué fecha? ¿Whois? ¿País de origen? ¿Está en pastebin? 

Comienzas a abrir pestañas, a meter contraseñas en los diferentes servicios y comienzan las consultas. Con suerte tienes una API compartida con algún compañero de trabajo y después de consultar varios sistemas, abres un TXT para pasar a limpio la información a la plataforma de inteligencia. Tu compañero de trabajo, con el que compartes esas APIs y esas contraseñas pero que está en otro lugar del mundo en tu equipo, hace lo mismo, porque también le ha llegado el mismo IOC. Esto se acabó con TheTHE.

TheTHE en San Francisco

Esta semana estamos presentando la herramienta en la RSA junto con otros desarrollos y proyectos del área de innovación y laboratorio.

Aprovechamos para publicar un nuevo vídeo, y comentar las novedades que vienen a partir de la semana que viene.

• Cambio de la estructura interna de base de datos y lógica de plugins para que sea todavía más sencillo crear nuevos plugins.
• Mejora de las tags para que puedas seguir con tu investigación de manera más cómoda.
• Agregado nuevo sistema (basado en script) de instalación (más sencilla todavía).
• TimeMachine: ahora es posible navegar hacia atrás en el tiempo para observar las diferencias entre los resultados de los plugins.
• Mejoras en la interfaz gráfica, para que sepas cuándo acaba cada tarea.