Hfinger - HTTP 요청 핑거프린팅

Hfinger는 파이썬 3를 기반으로 하는 도구로, 악성코드의 HTTP 요청에서 고유하고 인간이 읽을 수 있는 지문을 생성하여 악성코드의 식별과 분석을 도와줍니다. Tshark를 기반으로 하는 Hfinger는 요청의 메소드, 프로토콜 버전, 헤더 순서, 페이로드 특성 및 특정 헤더 값을 포함한 다양한 특징을 추출합니다. 이러한 특징들은 인코딩되어 연결되어 지문을 형성하며, 다양한 보고 모드가 제공되어 세부 정보와 충돌 저항성의 수준을 조절할 수 있습니다. Hfinger의 강점은 요청이 약간 다르더라도 악성코드 패밀리를 식별할 수 있는 능력에 있습니다. 따라서 수동 분석, 샌드박스 시스템 및 SIEMs에서 유용합니다. 설치는 파이썬 3.3 이상과 Tshark 2.2.0 이상이 필요하며, 도구는 명령줄 유틸리티와 파이썬 모듈로 모두 사용할 수 있습니다. 지문은 요청 URI, 헤더 구조 및 페이로드를 분석하여 생성되며, 각 특징은 미리 정의된 스키마에 따라 인코딩됩니다. 다섯 가지 보고 모드가 제공되어 사용자가 지문의 특징 표현을 조절할 수 있습니다. 기본 모드(2)는 정보의 풍부함과 고유성 사이에서 좋은 균형을 제공하며, 다른 모드는 충돌 최소화 또는 엔트로피 최대화와 같은 특정 측면을 우선시합니다. Hfinger는 또한 비표준 요청 요소를 식별하기 위한 자세한 로깅을 제공하여 더 깊은 분석과 이상 탐지를 지원합니다.