最近看到个好玩的东西ThreatPinch,一个开源情报的Chrome插件。针对安全分析师日常工作接触到最多的几大类IoC,加拿大一个老外把它做成一个Chrome插件往几个开源的情报源查询。实现情报分析环节enrich indicator的主要功能。通过Chrome浏览器在各种分析平台上工作时,双击关注的indicator,就往后台去查询,包括IBM的X-Force,ThreatMiner,Alienvault等等。当然各种资源需要API的还是得自己申请API。
目前支持的几种indicator类型:
IPv4
MD5
SHA2
CVE
FQDN (EFQDN is for Internet FQDN, IFQDN is for internal domains)
目前支持的几个OSINT源:
ThreatMiner for IPv4, FQDN, MD5 and SHA2 lookups.
Alienvault OTX for IPv4, MD5 and SHA2 lookups.
IBM X-Force Exchange for IPv4 lookups.
VirusTotal for MD5 and SHA2 lookups.
Cymon.io for IPv4 lookups.
CIRCL (Computer Incident Response Center Luxembourg) for CVE Lookups.
PassiveTotal for FQDN Whois Lookups
不过大部分资源其实还是需要先申请了账户、API的
直接上地址:
https://github.com/cloudtracer/ThreatPinchLookup
https://chrome.google.com/webstore/detail/threatpinch-lookup/ljdgplocfnmnofbhpkjclbefmjoikgke