Hfinger - отпечатки пальцев в HTTP-запросах

Hfinger - это инструмент на Python 3, который генерирует уникальные, легко читаемые отпечатки HTTP-запросов от вредоносного ПО, что помогает в их выявлении и анализе. Основанный на Tshark, Hfinger извлекает различные особенности из запросов, такие как метод, версия протокола, порядок заголовков, характеристики полезной нагрузки и конкретные значения заголовков. Эти особенности кодируются и объединяются для формирования отпечатка, а различные режимы отчетов предлагают разные уровни детализации и устойчивости к коллизиям. Сила Hfinger заключается в его способности определять семейства вредоносного ПО даже при незначительных различиях в запросах, что делает его полезным для ручного анализа, систем песочниц и SIEM. Установка требует Python 3.3+ и Tshark 2.2.0+, и инструмент можно использовать как в качестве командной утилиты, так и в качестве модуля Python. Отпечатки создаются путем анализа URI запроса, структуры заголовков и полезной нагрузки, при этом каждая особенность кодируется в соответствии с предварительно определёнными схемами. Пять режимов отчетов позволяют пользователям регулировать представление особенностей отпечатка, балансируя детальность с вероятностью коллизии. Режим по умолчанию (2) предлагает хороший баланс между богатством информации и уникальностью, в то время как другие режимы отдают приоритет определённым аспектам, таким как минимизация коллизий или максимизация энтропии. Hfinger также предоставляет подробное логирование для выявления нестандартных элементов запроса, что помогает в более глубоком анализе и обнаружении аномалий.