工具|蓝队威胁情报收集溯源工具TIG

  • A+
所属分类:安全工具

0x00 前言

解决问题

TIG (Threat Intelligence Gathering) 即威胁情报收集

在蓝队进行溯源工作时,通常有以下场景:

1、需要对 IP 的威胁情报信息、域名反查备案、IP 存活等信息进行查询

2、需要对多个攻击 IP 进行查询

为了提高蓝队在进行这项工作时的效率,为此简单编写了一个威胁情报收集的小工具。

工具代码完全开源,放心使用!!

工具介绍

TIG 项目地址(开源)

https://github.com/wgpsec/tig

https://gitee.com/wgpsec/tig

当前该工具获取 IP 的信息有以下几个角度:

1、微步情报信息:获取到 IP 的标签信息、是否恶意 IP、地理位置等等

2、IP 域名反查:获取到 IP 对应的域名,从而根据域名查询到备案信息和 Whois 信息

3、Fofa 信息:获取到 IP 可能开放的端口和 IP 对应的域名信息

4、Ping 存活检测:判断 IP 是否存活

假设在获取到的信息最大化情况下,通过 TIG 可以一键发现 IP 对应的情报标签、域名、域名注册人、备案邮箱、备案号、备案单位、域名注册商、IP 开放端口、地理位置等等信息。

工具|蓝队威胁情报收集溯源工具TIG

后续将集成更多模块,如有好的建议或遇到 Bug 欢迎提 issue

0x01 安装

该工具需要 python3 环境支持,直接到 python.org 或 pan.wgpsec.org 下载对应自己系统的安装包安装即可。

安装好 Python3 环境之后运行以下命令即可完成 TIG 的安装。

git clone https://github.com/wgpsec/tig.git

cd tig

pip3 install -r requirements.txt

python3 tig.py

0x02 使用

使用介绍

帮助信息:

-h, --help 查看帮助信息

-c CONFIG 指定配置文件,默认 ./config.ini

-f FILE IP 文本,一行一个

-i IP 目标 IP

-p PROXY 指定代理,比如:http://127.0.0.1:1080 或者 socks5://127.0.0.1:1080

在开始使用工具之前,为了获取到更多的信息,可以选择将您的 API 添加到配置文件中。

只要运行一下程序就会自动生成配置文件,默认配置文件如下:

[Threat Intelligence]

# 微步威胁情报查询,查看 api 地址:https://x.threatbook.cn/nodev4/vb4/myAPI(每天 50 次的免费额度)

ThreatBook_enable = true

ThreatBook_api = ''

[IP Passive Information]

# IP 反查,调用 http://api.hackertarget.com/reverseiplookup/ 和 http://api.webscan.cc/ 的 api 接口

IP_reverse_enable = true

# ICP 备案信息查询,调用 https://api.vvhan.com/api/icp 的 api,如果目标 IP 没有反查到域名,该项即使开启也不会有输出

ICP_beian_enable = true

# Whois 信息查询,调用 https://api.devopsclub.cn/api/whoisquery 的 api

Whois_enable = true

# Fofa ip 信息查询,查看 api 地址:https://fofa.so/personalData(付费,普通会员每次100条,高级会员每次10000条)

Fofa_enable = true

Fofa_email = ''

Fofa_api = ''

[IP Active Information]

# 利用 ping 命令对 IP 进行存活检测

IP_survive_enable = true


在配置文件中,需要配置 API 的地方有两处,分别为微步 API 和 Fofa API。

查看自己微步 API Key 的地址为:https://x.threatbook.cn/nodev4/vb4/myAPI,免费账户有每天 50 次的限额。

查看自己 Fofa API Key 的地址为:https://fofa.so/personalData,普通会员每次免费前 100 条,高级会员每次免费前 10000 条。

示例

例如这里要获取某个 IP 的信息,直接使用 -i 命令即可。

工具|蓝队威胁情报收集溯源工具TIG

对于获取多个 IP 的情况,可以将要查询的 IP 放到一个 txt 文件里,之后使用 -f 命令指定 txt 文件即可。

工具|蓝队威胁情报收集溯源工具TIG

实战

在实际在使用中,可以直接使用 TIG 查看目标 IP 威胁情报信息,从而快速判断该 IP 是否具有溯源价值,以提高整个溯源过程的效率。

比如如果通过 TIG 判断目标 IP 是 IDC 机房恶意 IP,同时主机能 ping 通,而且还可能开放了一些端口,这时就可以多花些时间看看这个 IP。

工具|蓝队威胁情报收集溯源工具TIG

如果通过 TIG 判断目标 IP 是动态非恶意 IP,而且也不能 ping 通,那就可以少花些时间在这个 IP 上或者直接看下一个 IP。

工具|蓝队威胁情报收集溯源工具TIG

0x03 最后

如果各位师傅在使用工具的过程中发现存在 bug 或者有好的建议,欢迎多多提 issue。

如果感觉使用起来还不错,欢迎师傅赏个 star 。 

作者:wgpsec狼组安全团队

原文:https://x.threatbook.cn/v5/article?threatInfoID=3708

本文始发于微信公众号(鬼谷安全):工具|蓝队威胁情报收集溯源工具TIG

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: