开发人员说,工具比其他免费和开源竞争对手更精确,并且要查询更广泛的公用事业
安全研究人员有一个新的开源网络钓鱼可以自动使用整个分析过程的电子邮件分析工具。
基于事件响应平台,可观察到的分析和主动响应引擎皮层以及恶意软件信息共享平台(MISP),Thephish从可疑电子邮件的标题和正文中提取所有可观察到的物品,并在TheHive上创建案例。
然后,使用Cortex中的一百个ODD分析仪分析可观察的物品,包括IP地址,电子邮件地址,域,URL和文件附件,并根据分析制定判决。
如果判决是最终的,则案件已关闭并自动通知用户;如果是恶意的电子邮件,该案件被导出为MISP被共享。
如果判决尚无定论,则分析师可以审查有关案件的案件以及各种分析仪给出的结果并进行自己的呼吁。
威胁英特尔赤字
该工具是由意大利网络安全公司Secsi的研究员Emanuele Galdi在硕士学位论文中,经过对其他开源和免费网络钓鱼分析工具的检查后创建的。
“我发现它们都没有提供像Phish一样多的工具的可能性,也没有汇总这些结果。他们都没有使用威胁情报。”他告诉每日swbeplay2018官网ig。
“其中一些仅从电子邮件中提取折衷指标的一部分。其他一些人甚至在提取过程中还不够精确,或者忽略了一些可以找到有用信息的基本位置。还有一些工具仅提供仪表板来可视化电子邮件而无需分析电子邮件。”
“合理准确”
加尔迪说,该工具的判决是“合理准确的”,只有一小部分报告倾向于需要分析师的干预。
他说:“在这些情况下,某些[分析仪]对电子邮件中包含的一条或多种信息感到怀疑,但是没有足够的证据将电子邮件标记为恶意。”
thephish是在Github上可用。加尔迪说,许多用户已经分配了存储库,到目前为止,他对此有很好的反馈。
“我希望该工具可以帮助浪费越来越多的时间进行繁琐的任务,也许可以用作开发许多其他工具来对抗网络钓鱼的榜样。实际上,网络钓鱼是任何攻击的最受剥削的感染向量,包括勒索软件攻击,这带来了许多攻击组织他们的膝盖。”他说。
“总而言之,我认为Thephish是那里最完整的非商业工具,这也要归功于它使用的出色平台,即Thehive,Cortex和Misp。”
