azenko
commented
8 years ago Bonjour, actuellement seulement certaine règles d'OpenIOC sont prise en charge par CERTitude, et celle sur la recherche d'emprunte ne sont pas intégrer dans la version officiel, de mon côté j'ai crée un fork qui prend en charge la recherche du nom de fichier et le md5 a toi de voir si tu peu l'adapter, sinon c'est au programme mais pour quand j'aurais un peu de temps libre.
Cdlt, Bonne année à toi aussi.
Bonjour
Ayant crée des iocs au format OpenIOC avec l'outil IOC Editor (de Mandian), j'ai de nombreuses erreurs lorsque j'essaye de rechercher des iocs sur un disque. exemple d'erreur :
iocscanner.3afa14 : INFO Searching for IOC mimikatz (id=2) iocscanner.3afa14 : WARNING FlatEval files: Md5sum/is is not in evaluation list iocscanner.3afa14 : WARNING FlatEval files: Sha1sum/is is not in evaluation list iocscanner.3afa14 : WARNING FlatEval files: Sha256sum/is is not in evaluation list iocscanner.3afa14 : WARNING FlatEval files: PEInfo/VersionInfoList/VersionInfoItem/InternalName/contains is not in evaluation list iocscanner.3afa14 : WARNING FlatEval files: Sha256sum/is is not in evaluation list iocscanner.3afa14 : WARNING FlatEval files: Sha256sum/is is not in evaluation list
Du coup toutes les empreintes md5, sha1, sha256, etc. sont ignorées lors de mes recherches. Par contre la recherche d'iocs par nom de fichier fonctionne bien.
Kesako ?
Bonne année :-)