abuse.ch
Kostenlose Threat Intelligence Plattform
abuse.ch ist eine Plattform, die Datenbanken von bekannten Bedrohungen bereit stellt. Kostenlos für alle nutzbar.
Services
1. MalwareBazaar
Datenbank von Malware-Samples
Was:
- Sammelt Malware-Samples
- Analysiert sie
- Stellt Hashes bereit (SHA256, MD5)
Verwendung:
- Download von Malware-Samples (für Forschung)
- Hash-Abgleich: Ist Datei Malware?
- API-Zugriff (Python, REST)
2. URLhaus
Datenbank von Malware-URLs
Was:
- Sammelt URLs, die Malware verbreiten
- Kategorisiert sie (Emotet, TrickBot, etc.)
- Stellt Blacklist bereit
Verwendung in Firewall:
3. Feodo Tracker
Datenbank von Banking-Trojanern
Was:
- Trackt Command & Control (C&C) Server
- Banking-Trojaner: Emotet, TrickBot, QakBot, etc.
- Stellt IP-Blacklist bereit
Verwendung:
- Blockiert automatisch Verbindungen zu C&C-Servern
- Verhindert Malware-Kommunikation
4. SSL Blacklist
Datenbank von bösartigen SSL-Zertifikaten
Was:
- Sammelt SSL-Zertifikate von Malware
- Erstellt Fingerprint (SHA1)
- Stellt Blacklist bereit
Verwendung:
- Erkennt Malware-Traffic anhand SSL-Fingerprint
- Auch bei verschlüsseltem Traffic
Integration mit Suricata
Suricata + abuse.ch:
Traffic wird geprüft gegen:
├─► URLhaus: Malware-URLs
├─► Feodo: C&C-Server-IPs
└─► SSL Blacklist: Malware-Zertifikate
→ Bei Match: Alert oder Block
API-Zugriff
Alle Services bieten REST-API:
- MalwareBazaar:
https://mb-api.abuse.ch/api/v1/ - URLhaus:
https://urlhaus-api.abuse.ch/v1/ - Feodo Tracker:
https://feodotracker.abuse.ch/downloads/
Beispiel Python:
import requests
url = "https://mb-api.abuse.ch/api/v1/"
data = {"query": "get_info", "hash": "SHA256_HERE"}
response = requests.post(url, data=data)
print(response.json())
Vorteile
- Kostenlos: Alle Services gratis
- Aktuell: Täglich Updates
- Community-getrieben: Forscher weltweit
- API-Zugriff: Automatisierung möglich