RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)

admin
admin
admin
138733
文章
114
评论
2024年12月28日13:42:57评论19 views字数 2027阅读6分45秒阅读模式
正文部分

项目地址,感谢各位师傅的star ~~

https://github.com/WingBy-Fkalis/RongIOC

RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)

什么是APT拓线

可以看我的上一篇文章,APT拓线分析指南~~,这里就不进行讲解了(链接如下)

APT拓线分析指南(自研工具RongIOC实战)

RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)

安装

安装

直接下载exe即可

https://github.com/WingBy-Fkalis/RongIOC/releases/tag/Bate_v1.0

RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)

使用方法(RongIOC实战演示)

自动化和手工效果对比

这里用fofa官方的一篇拓线文章进行对比

手工拓线

RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)
文章中手工进行拓线的基本流程为:1. 获取到neger.site,semain.tech,aliit.org2. 提取到了特征,例如jarm3. 不断修改特征(最繁琐的地方)4. 得到新的ioc语法,获取到更多的可疑资产

RongIOC自动拓线

1. 查看帮助

RongIOC.exe -h
-h,--help            show this help message and exit-e EMAIL,--email EMAIL                     fofa账号-k KEY,--key KEY     fofa密钥-i IOC,--ioc IOC     基础ioc (语法+时间)(例如:(domain="neger.site"|| domain="semain.tech"|| domain="aliit.org")&& before="2024-01-04"-f FILE,--file FILE  域名,ip的基础ioc文件列表(测试阶段,可能有bug)-l LINE,--line LINE  想要获取的拓线数量(默认为3)-n NUMBER,--number NUMBER单条拓线的最大误差(最大资产量)(默认为:2500)-t THREAD,--thread THREAD并发线程数(默认为:3)
RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)

2. 快速进行拓线

这里根据开源情报获取到三个域名,以及发现时间,构建基础语法,也就是手工拓线的第一步

neger.site            
semain.tech            
aliit.org

-e 输入fofa的账户

-k 输入fofa的密钥

-i 基础IOC语法 (推荐使用 域名+发现时间的方式(如下))

RongIOC.exe -e xxx -k xxx -i "(domain="neger.site" || domain="semain.tech") && before="2024-01-04""
RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)

3. 自动拓线获取ioc

RongIOC会自动进行特征比较,提取出相似的特征,不需要人工进行繁琐的特征寻找和对比

RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)

4. 获取拓线信息

自动构建IOC语句,并且查询其和源IOC是否为包含关系,进而确定他的准确性,同时也会把一些多余的拓线进行排除

RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)
RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)

5. 自动化成果展示

一条命令,即可获取到多条不同语法的拓线分支

RongIOC.exe -e xxx -k xxx -i "(domain="neger.site" || domain="semain.tech") && before="2024-01-04""

构建的拓线

下面是构建出来的三条拓线
----------数量:119-----------base_protocol="tcp"&&(banner=" 2023 "&& banner=" GMTContent-Type: text/htmlContent-Length: 183Connection: keep-alive"&& banner=", 23 ")&& server="nginx"
----------数量:103-----------cert.issuer.org="Let's Encrypt"&& base_protocol="tcp"&&(banner=" 2023 "&& banner=" GMTContent-Type: text/htmlContent-Length: 183Connection: keep-alive"&& banner=", 23 ")
----------数量:102-----------cert.issuer.cn="R3"&& cert.issuer.org="Let's Encrypt"&& base_protocol="tcp"&&(banner=" 2023 "&& banner=" GMTContent-Type: text/htmlContent-Length: 183Connection: keep-alive"&& banner=", 23 ")
----------{空字符串特征,可根据需求添加}------------os=""&& icp=""&& cert.subject.org=""&& cname=""
使用这些拓线,能获取到大量的响尾蛇组织的域名和情报
RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)
RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)
RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)
RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)
RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)
RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)
RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)
RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)

 

原文始发于微信公众号(sec0nd安全):RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月28日13:42:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )(使用教程+实战对比效果)https://cn-sec.com/archives/3549098.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息