Hfinger - Empreinte digitale des requêtes HTTP

Hfinger est un outil Python 3 qui génère des empreintes digitales uniques et lisibles par l'homme de requêtes HTTP provenant de logiciels malveillants, facilitant leur identification et leur analyse. Basé sur Tshark, Hfinger extrait des caractéristiques distinctes des requêtes comme la méthode, la version du protocole, l'ordre des en-têtes, les caractéristiques de la charge utile et les valeurs spécifiques des en-têtes. Ces caractéristiques sont encodées et concaténées pour former une empreinte digitale, avec différents modes de rapport offrant des niveaux de détail et de résistance aux collisions variables. La force de Hfinger réside dans sa capacité à identifier les familles de logiciels malveillants même lorsque les requêtes diffèrent légèrement, ce qui en fait un outil utile pour l'analyse manuelle, les systèmes de sandbox et les SIEM. L'installation nécessite Python 3.3+ et Tshark 2.2.0+, et l'outil peut être utilisé à la fois comme une utilité en ligne de commande et un module Python. Les empreintes digitales sont générées en analysant l'URI de la requête, la structure des en-têtes et la charge utile, chaque caractéristique étant encodée selon des schémas prédéfinis. Cinq modes de rapport permettent aux utilisateurs d'ajuster la représentation des caractéristiques de l'empreinte digitale, en équilibrant le détail avec la probabilité de collision. Le mode par défaut (2) offre un bon équilibre entre la richesse d'informations et l'unicité, tandis que les autres modes donnent la priorité à des aspects spécifiques comme la minimisation des collisions ou la maximisation de l'entropie. Hfinger fournit également une journalisation détaillée pour identifier les éléments de requête non standard, facilitant une analyse plus approfondie et la détection d'anomalies.