如何使用模塊化的Hostintel收集惡意主機(jī)的情報(bào)信息

這篇文章給大家介紹如何使用模塊化的Hostintel收集惡意主機(jī)的情報(bào)信息，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對(duì)大家能有所幫助。

今天給大家介紹的是一款模塊化的Python應(yīng)用程序，廣大研究人員可使用這款工具來(lái)收集關(guān)于惡意主機(jī)的情報(bào)信息。

Hostintel

這款工具可以用來(lái)收集關(guān)于目標(biāo)主機(jī)的各種情報(bào)信息，Hostintel以模塊化的形式進(jìn)行開(kāi)發(fā)，因此廣大用戶可以輕松添加新的情報(bào)源。

Hostintel通過(guò)FQDN主機(jī)名、域名或IP地址來(lái)進(jìn)行主機(jī)識(shí)別。這款工具的當(dāng)前版本僅支持IPv4。輸出數(shù)據(jù)為CSV格式，發(fā)動(dòng)目的地為STDOUT，因此用戶可以直接保存數(shù)據(jù)或?qū)⑵滢D(zhuǎn)發(fā)至其他軟件。由于數(shù)據(jù)的輸出格式為CSV格式，所以廣大用戶還可以根據(jù)自己的需要來(lái)將數(shù)據(jù)導(dǎo)入到Excel表格或數(shù)據(jù)庫(kù)系統(tǒng)中。

幫助信息

$python hostintel.py -husage:hostintel.py [-h] [-a] [-d] [-v] [-p] [-s] [-c] [-t] [-o] [-i] [-r]                    ConfigurationFile InputFile Modular application to look up host intelligence information. Outputs CSV toSTDOUT.This application will not output information until it has finished allofthe input. positional arguments:  ConfigurationFile     Configuration file  InputFile             Input file, one host per line (IP,domain, or FQDN                        host name) optional arguments:  -h, --help            show this help message and exit  -a, --all             Perform All Lookups.  -d, --dns             DNS Lookup.  -v, --virustotal      VirusTotal Lookup.  -p, --passivetotal    PassiveTotal Lookup.  -s, --shodan          Shodan Lookup.  -c, --censys          Censys Lookup.  -t, --threatcrowd     ThreatCrowd Lookup.  -o, --otx             OTX by AlienVault Lookup.  -i, --isc             Internet Storm Center DShieldLookup.  -r, --carriagereturn  Use carriage returns with new lines on csv.

工具安裝

首先，確保你計(jì)算機(jī)或安裝設(shè)備的配置文件是正確的。這里需要在配置文件中添加你的API密鑰和用戶名。在運(yùn)行該工具前，你還需要安裝Python（該工具采用Python2開(kāi)發(fā)，但理論上支持Python3）和Pip。在工具的使用過(guò)程中，我們還需要從GitHub上安裝各種模塊，因此git命令也是需要配置好的。對(duì)于任何一個(gè)平臺(tái)來(lái)說(shuō)，使用Git來(lái)安裝軟件都是非常方便的。接下來(lái)，安裝Python依賴：

$ pip install -r requirements.txt

如果你在macOS上安裝遇到問(wèn)題的話，你可能還需要使用下列命令安裝部分代碼庫(kù)：

$ pip install requests[security]

最后，我個(gè)人建議大家使用Python的virtualenv，來(lái)為該工具搭建自定義的本地Python環(huán)境：【參考資料】。

工具運(yùn)行

$python hostintel.py myconfigfile.conf myhosts.txt -a > myoutput.csv

該命令的輸出文件：myoutput.csv理論上可以直接導(dǎo)入到任意數(shù)據(jù)庫(kù)或電子表格中。

注意：如果你的網(wǎng)絡(luò)連接質(zhì)量較差的話，工具搜索數(shù)據(jù)的時(shí)間可能會(huì)比較長(zhǎng)。因此建議用戶在這種情況下每次只使用一個(gè)模塊，并手動(dòng)進(jìn)行數(shù)據(jù)導(dǎo)出。

樣本數(shù)據(jù)

我們已經(jīng)在項(xiàng)目的“sampledata”目錄中提供了一些簡(jiǎn)單的樣本數(shù)據(jù)。其中的IP地址、域名和主機(jī)都是隨機(jī)選取的，不針對(duì)特定組織或個(gè)人。樣本數(shù)據(jù)的使用方法如下：

少量主機(jī)列表：

$python hostintel.py local/config.conf sampledata/smalllist.txt -a >sampledata/smalllist.csv***Processing 8.8.8.8 ******Processing 8.8.4.4 ******Processing 192.168.1.1 ******Processing 10.0.0.1 ******Processing google.com ******Processing 212.227.247.242 ******Writing Output ***

大量主機(jī)列表：

$python hostintel.py local/config.conf sampledata/largerlist.txt -a >sampledata/largerlist.csv***Processing 114.34.84.13 ******Processing 116.102.34.212 ******Processing 118.75.180.168 ******Processing 123.195.184.13 ******Processing 14.110.216.236 ******Processing 14.173.147.69 ******Processing 14.181.192.151 ******Processing 146.120.11.66 ******Processing 163.172.149.131 *** ... ***Processing 54.239.26.180 ******Processing 62.141.39.155 ******Processing 71.6.135.131 ******Processing 72.30.2.74 ******Processing 74.125.34.101 ******Processing 83.31.179.71 ******Processing 85.25.217.155 ******Processing 93.174.93.94 ******Writing Output ***

關(guān)于如何使用模塊化的Hostintel收集惡意主機(jī)的情報(bào)信息就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。