Les chercheurs en sécurité disposent d’un nouvel outil open source d’analyse des e-mails de phishing qui automatise l’ensemble du processus d’analyse.

Basé sur la plate-forme de réponse aux incidents TheHive, l’analyse observable et le moteur de réponse actif Cortex et la plate-forme de partage d’informations sur les logiciels malveillants (MISP), ThePhish extrait tous les éléments observables de l’en-tête et du corps d’un e-mail suspect et crée un dossier sur TheHive.

Les observables, y compris les adresses IP, les adresses e-mail, les domaines, les URL et les pièces jointes, sont ensuite analysés à l’aide de la centaine d’analyseurs de Cortex, et un verdict est produit sur la base de l’analyse.

Si le verdict est définitif, l’affaire est clôturée et l’utilisateur automatiquement averti ; s’il s’agit d’un e-mail malveillant, le cas est exporté vers MISP pour être partagé.

Si le verdict n’est pas concluant, l’analyste peut examiner le cas sur TheHive avec les résultats donnés par divers analyseurs et passer son propre appel.

Déficit de renseignements sur les menaces

L’outil a été créé par Emanuele Galdi, chercheur à la société italienne de cybersécurité SecSI, pour sa thèse de maîtrise, après un examen d’autres outils d’analyse de phishing open source et gratuits.

« J’ai découvert qu’aucun d’entre eux n’offre la possibilité d’interroger autant d’outils que ThePhish, ni d’agréger ces résultats. Aucun d’entre eux n’utilise non plus les renseignements sur les menaces », a-t-il déclaré. La gorgée quotidienne.

« Certains d’entre eux n’extraient qu’une partie des indicateurs de compromission de l’e-mail. Certains autres ne sont même pas assez précis lors de l’extraction ou négligent certains endroits essentiels où il est possible de trouver des informations utiles. Il existe aussi des outils qui ne proposent qu’un tableau de bord pour visualiser l’email sans l’analyser.

« Raisonnablement précis »

Galdi affirme que les verdicts de l’outil sont « raisonnablement précis » et que seule une petite fraction des rapports ont tendance à nécessiter l’intervention d’un analyste.

«Ce sont des cas dans lesquels certains [analyzers are] suspect sur une ou plusieurs informations contenues dans l’e-mail, mais il n’y a pas suffisamment de preuves pour marquer l’e-mail comme malveillant », dit-il.

L’hameçonnage est disponible sur GitHub. Galdi dit qu’un certain nombre d’utilisateurs ont forké le référentiel et qu’il a eu de bons retours à ce sujet jusqu’à présent.

« J’espère que cet outil pourra permettre de perdre de moins en moins de temps sur des tâches fastidieuses et, peut-être, servir d’exemple pour développer de nombreux autres outils de lutte contre le phishing. En effet, le phishing est le vecteur d’infection le plus exploité pour toute attaque, y compris les attaques de ransomware, qui mettent de nombreuses organisations à genoux », dit-il.

« En conclusion, je pense que ThePhish est l’outil non commercial le plus complet, notamment grâce aux excellentes plates-formes qu’il utilise, à savoir TheHive, Cortex et MISP. »