Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

L'outil BTG CONIX

L’outil BTG

BTG est un outil de qualification du potentiel malveillant d’un ou plusieurs marqueurs de natures différentes (URL, MD5, SHA1, SHA256, SHA512, IPv4, IPv6, domain etc..). Il a la possibilité d’être exécuté sur un environnement Gnu/Linux. La version Windows est fonctionnelle en version BETA.

Cet outil est né d’un besoin simple pour les collaborateurs de CONIX lors de leurs activités métiers, les analystes SOC et DFIR sont confrontés à de nombreuses informations et métadonnées de natures différentes qu’ils doivent qualifier afin d’en déterminer le caractère malveillant ou non.

En face de cela, de nombreuses bases de connaissances de marqueurs connus comme malveillants (aka IOC) sont accessibles en ligne sur divers sites tels que VirusTotal, ZeusTracker etc…, de plus les SOC et CERT peuvent également disposer de leur propres bases de connaissances internes. Le quotidien des analystes SOC et DFIR est donc rythmé par la recherche de données de type IP, hash etc… sur ces bases de connaissances internes et publiques, ce qui constitue donc une tache répétitive et consommatrice de temps.

Le CERT- CONIX a donc réalisé un outil permettant aux analystes de qualifier rapidement de nombreuses sources de connaissances et de les rendre plus accessibles, et ce, depuis le cocon de l’analyste : le shell.

Afin d’augmenter la confidentialité des recherches effectuées, BTG a la particularité de garder en cache les données de certains modules permettant ainsi de faire une investigation sans obligation d’être connecté au réseau Internet.

Cet outil a pour vocation d’évoluer en agrémentant de nouveaux modules. BTG est développé en Python, et laisse en conséquence une grande liberté à l’utilisateur d’ajouter ses propres modules dans le but d’augmenter les capacités d’analyse selon ses besoins.

Voici une liste non exhaustive de modules intégrés à l’heure actuelle dans BTG:

– Dshield

– Lehigh

– Malekal

– Malwaredomains

– Malwaredomainlist

– MalwareTeks

– MISP (Malware Information Sharing Platform)

– Noeuds de sortie Tor

– OpenPhish

– Palevo

– VirusTotal

– ZeusTracker

 

Usage:

$ btg [VOTRE RECHERCHE (URL/MD5/SHA1/SHA256/SHA512/IPv4/IPv6/domain)]

Pour plus d’options:

$ btg –help

Github: https://github.com/conix-security/BTG

By | 2017-06-21T11:49:55+00:00 17/02/2017|Conix Security, Technique|