根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。
威胁情报分为四种类型:
-
战略威胁情报
战略威胁情报(Strategic Threat Intelligence)提供一个全局视角看待威胁环境和业务问题,它的目的是告知执行董事会和高层人员的决策。战略威胁情报通常不涉及技术性情报,主要涵盖诸如网络攻击活动的财务影响、攻击趋势以及可能影响高层商业决策的领域。 -
运营威胁情报
运营威胁情报(Operational Threat Intelligence)与具体的、即将发生的或预计发生的攻击有关。它帮助高级安全人员预测何时何地会发生攻击,并进行针对性的防御。 -
战术威胁情报
战术威胁情报(Tactical Threat Intelligence)关注于攻击者的TTP,其与针对特定行业或地理区域范围的攻击者使用的特定攻击向量有关。并且由类似应急响应人员确保面对此类威胁攻击准备好相应的响应和行动策略。 -
技术威胁情报
技术威胁情报(Technical Threat Intelligence)主要是失陷标识,可以自动识别和阻断恶意攻击行为。
当前,业内更广泛应用的威胁情报主要还是在技术威胁情报层面。
介绍
TIG(Threat Intelligence Gathering)威胁情报收集,旨在提高蓝队拿到攻击 IP 后对其进行威胁情报信息收集的效率。
在经历了4个版本的迭代之后,目前已集成微步、IP 域名反查、Fofa 信息收集、ICP 备案查询、IP 存活检测、Whois 信息查询六个模块,现已支持以下信息的查询:
✅ 微步标签
✅ IP 域名反查
✅ IP 存活检测
✅ ICP 备案查询
✅ 开放端口查询
✅ Whois 信息查询
✅ IP 地址位置查询
……
项目地址:https://github.com/wgpsec/tig
安装
该工具需要 python3 环境支持
git clone https://github.com/wgpsec/tig.git
cd tig
pip3 install -r requirements.txt
python3 tig.py
使用
工具命令如下:
-h --help 查看帮助信息
-c CONFIG 指定配置文件,默认 ./config.ini
-f FILE IP 文本,一行一个
-i IP 目标 IP
-p PROXY 指定代理,比如:http://127.0.0.1:1080 或者 socks5://127.0.0.1:1080
在开始使用工具之前,需要对配置文件进行配置,默认配置文件如下:
[Threat Intelligence]
微步威胁情报查询,查看 api 地址:https://x.threatbook.cn/nodev4/vb4/myAPI(每天 50 次的免费额度)
ThreatBook_enable = true
ThreatBook_api = ‘’
[IP Passive Information]
IP 反查,调用 http://api.hackertarget.com/reverseiplookup/ 和 http://api.webscan.cc/ 的 api 接口
IP_reverse_enable = true
ICP 备案信息查询,调用 https://api.vvhan.com/api/icp 的 api,如果目标 IP 没有反查到域名,该项即使开启也不会有输出
ICP_beian_enable = true
Whois 信息查询,调用 https://api.devopsclub.cn/api/whoisquery 的 api
Whois_enable = true
#Fofa ip 信息查询,查看 api 地址:https://fofa.so/user/users/detail(付费,普通会员每次100条,高级会员每次10000条)
Fofa_enable = true
Fofa_email = ‘’
Fofa_api = ‘’
[IP Active Information]
利用 ping 命令对 IP 进行存活检测
IP_survive_enable = true
在配置文件里添加自己的微步 API 和 Fofa API 才可使用相关模块,添加 API 后,就可以正常使用相关模块了。
例如这里获取某个 IP 的信息,直接使用 -i 命令即可。
680
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
