通过FOFA进行威胁情报发现全攻略

概述

之前我们发布了一系列精彩纷呈的资产拓线实战记录文章，涵盖了 COLDRIVER、Ducktail 犯罪组织、响尾蛇 APT 组织等多个极具代表性的案例，还深入剖析了 ObserverStealer 窃密木马以及 APT Bitter 追踪实战，为广大读者揭开了网络威胁背后的神秘面纱，展示了如何利用 FOFA 在复杂的网络环境中抽丝剥茧，不断扩大搜索范围，挖掘出更多有价值的威胁情报，收获了非常多反馈和好评，因此我们决定将内部fofa资产拓线手册公开~

本文将系统地梳理资产拓线的全流程，从基础流程的输入源场景、样本获取渠道、IOC 归属组织确认方法，到核心操作要点中的依据相关因素构建 FOFA 语法、处理误报、结果验证等内容逐一展开，为大家呈现一套完整的FOFA威胁情报发现全攻略。

工作流程图

输入源

场景

• 已知组织找最新存活的IOC资产（我们主动的找某APT组织去拓线，如海莲花组织，则针对性的根据海莲花组织获取最新活跃的样本）

• 已知IOC拓线找该IOC对应组织最新存活资产（若是未知组织的IP，则直接跳到步骤二去确认组织归属。若是能确认组织，则可以直接去确认组织相关信息；若是未知组织或组织未被命名，则直接进行拓线）

样本获取渠道

以下提供几个定期更新APT组织最新样本的渠道，我们可以针对性的对某APT组织找案源进行资产拓线：

情报网站

• 360APT全景雷达 https://apt.360.net/aptlist

• 天际友盟威胁情报中心_情报查询_情报订阅 https://redqueen.tj-un.com/home/advanced

• 奇安信威胁情报中心 https://ti.qianxin.com/apt/?type=map

• 安全星图平台 https://ti.dbappsecurity.com.cn/apt/list

GitHub开源项目

https://github.com/stamparm/maltrail
https://github.com/blackorbird/APT_REPORT

公众号APT组织分析文章

以下分享几个会定期更新APT组织情报的公众号：

• 360威胁情报中心
• 腾讯安全威胁情报中心
• 奇安信威胁情报中心
• 绿盟科技威胁情报
• 安恒威胁情报中心
• 安天AVL威胁情报中心
• 威胁猎人Threat Hunter
• 国家网络威胁情报共享开放平台
• ThreatPage全球威胁情报

Twitter上公开情报

Twitter上有很多优秀的安全研究员或团队会输出一些有价值的情报，这些情报往往具备很强的时效性。由于篇幅有限，现仅列举历史拓线推文中曾引用推文的作者：

• Yogesh Londhe：https://x.com/suyog41
• Cyber Team：https://x.com/Cyberteam008
• Group-IB Threat Intelligence：https://x.com/GroupIB_TI
• Chris Duggan：https://x.com/TLP_R3D

样本库

https://bazaar.abuse.ch/browse/
https://app.any.run/
https://ata.360.net/
https://www.virustotal.com/gui/
https://s.threatbook.com/

确认IOC归属组织及组织相关信息

IOC若为已知组织，则直接获取该组织相关信息；若为未知组织则需要先确认其归属组织，再获取该组织的相关信息。

确认归属组织

一般优先选择将IP/域名在各个威胁情报平台查找，看是否有打威胁组织标签。另外，还提供一种辅助方法为直接Google搜索，此方法需人工验证。

如：初始IOC为IP 45.41.204[.]18 分别在微步在线情报社区和奇安信威胁情报中心打标签为“海莲花团伙”，则可以推断该组织为海莲花APT组织，又名OceanLotus。

如：域名为sheicen[.]info分别在微步在线情报社区和奇安信威胁情报中心打标签为“Patchwork团伙”，则可以推断该组织为摩诃草组织，又名Patchwork。

除此之外，还有以下的情况：域名neger[.]site只在微步在线情报社区有打"响尾蛇组织"标签，域名mofagov[.]live只在奇安信威胁情报中心打"响尾蛇组织"标签，是由于各平台的属性不同，我们需要在多个威胁情报平台交叉验证，来确定组织。

常见威胁情报社区

微步在线情报社区

链接：https://x.threatbook.com/

奇安信威胁情报中心

链接：https://ti.qianxin.com/

Virustotal

链接：https://www.virustotal.com/

安全星图平台

链接：https://ti.dbappsecurity.com.cn/

天际友盟威胁情报中心-RedQueen

链接：https://redqueen.tj-un.com/home/index

360安全大脑

链接：https://ti.360.net/

安天威胁情报中心

链接：https://www.antiycloud.com/

VenusEye-威胁