也许每个人出生的时候都以为这世界都是为他一个人而存在的，当他发现自己错的时候，他便开始长大

少走了弯路，也就错过了风景，无论如何，感谢经历

汽车威胁狩猎专栏长期更新，本篇最新内容请前往：

• [车联网安全自学篇] 汽车威胁狩猎之关于威胁狩猎该如何入门？你必须知道的那些事「7万字详解」

0x01 前言

让我们面对现实吧：威胁狩猎是一种工具和技术密集型学科。有时，昂贵的商业化的威胁狩猎工具和服务似乎是该行业的唯一工具。但现实是，大多数威胁猎手，并不完全依赖这些花里胡哨的工具。相反，许多猎手发现自己在调查中会接触到免费和灵活的辅助安全分析的工具。但这些工具的发布速度，往往让人们感到茫然和困惑。下面列出了一份日常威胁狩猎的免费威胁狩猎工具、脚本和服务清单

0x02 CYBERCHEF

CyberChef 通常是威胁狩猎的首选工具

CyberChef 是一个在安全行业中，众所周知的威胁威胁工具。该工具由被称为 GCHQ 的秘密机构在 2016 年发布，旨在分析和解码数据。你问是什么数据？虽然，它在发布时非常强大，但它的能力却只在不断增长。无论你想解码 XOR、Base64，还是像 Bacon Cipher 这样更奇特的东西，CyberChef 都能轻松做到。该工具，还可以自动检测数据中的各种类型的嵌套编码

这还不是全部，因为工具的作者正在努力实现取证、网络甚至是语言功能！这就是 CyberChef。该平台的真正力量在于它的 “recipe” 功能，它允许猎人将操作、输入、输出和参数链接到 “recipe” 中

0x03 RSS READERS

这与其说是一个单一的威胁狩猎工具，不如说是一个威胁狩猎工具类别：真正简单的联合（RSS）阅读器。了解新闻，对一个猎人来说是非常重要的。不过不是在谈论央视上的头条新闻。相反，他们都强调了关注热门安全网站的行业新闻的重要性。另外，建议关注宣布漏洞和补丁的供应商的网站，以及关注安全红队团队和漏洞发布网站作为优先事项

RSS 阅读器种类繁多，每个猎手都有不同的选择。然而，鉴于选择范围广泛，建议选择一个免费的

0x04 PHISHING CATCHER

网络钓鱼，仍然是企业面临的最大威胁之一。因此，威胁猎手推荐积极主动的威胁猎取工具 Phishing Catcher 也就不足为奇了。Phishing Catcher 是一个开源工具，用于近乎实时地检测网络钓鱼域名。它是如何做到这一点的？

它近乎实时地利用有关可疑颁发的 TLS 证书的数据。CertStream 的公共API发布了来自证书透明度日志（CTL）的数据。然后，Phishing Catcher解析这些数据，同时寻找用户定义的关键词，并对结果进行评分。这些关键字，可能包括可疑的术语，甚至是一个组织的名称或商标。Phishing Catcher 也有基于特定标准的评分，使威胁狩猎团队能够专注于真正的威胁

0x05 DNSTWIST

DNSTwist 是捕捉可疑域名的威胁狩猎工具。DNSTwist 是一个非常强大的工具，使用各种模糊算法来检测可疑的域名。DNSTwist 可以识别输入错误的域名、同形文字和国际化域名（IDN）。另外，还可以检测实时网络钓鱼页面，并对其所有结果进行地理定位，以识别奇怪的异常值

如果这还不够，DNSTwist 还能够进行恶意 MX 主机检测。这使该工具能够检测到被配置为错误方向的电子邮件的域名。攻击者，有时会利用这一点来获取有效的电子邮件地址或进行侦察

0x06 GNUPLOT

一个得到威胁猎手一致好评的威胁狩猎工具，是一个可以追溯到1986年的简单工具：gnuplot! Gnuplot 是一个开源工具，可以在二维和三维上绘制数据。为什么威胁猎手需要 gnuplot 这样的工具？

媒体经常把威胁猎手描绘成深陷在日志数据中，但这只是部分事实。在现实中，威胁猎手需要数据可视化来分析和识别统计上的异常值。这在数据驱动的狩猎中尤其如此

虽然，有些猎手喜欢用 Excel 来完成这项任务，但 gnuplot 显然是最受欢迎的。这是因为 Excel 使用的是图形用户界面，在处理海量数据时可能会有困难，而 gnuplot 是一个命令行工具。这使得猎人们可以向 gnuplot 输入大量的分隔数据，并让它立即输出结果

在谈到 gnuplot 时，猎人们几乎都会有一个警告。虽然它的界面非常强大，但它的学习曲线却很陡峭，请做好翻阅 gnuplot 使用手册的心理准备

0x07 ATTACKERKB

部分威胁猎人，将 AttackerKB 恰当地描述为 “攻击的尖叫声”，他们没有错。AttackerKB 是一种威胁狩猎工具，它提供了攻击者及其猎手需要了解漏洞所需的一切。包括漏洞披露、技术分析、结果、可利用性、易用性等

这些信息，使猎人能够识别新旧漏洞，并对其进行排序。另外，还可以使威胁猎手，弄清哪些漏洞适用于他们的组织

0x08 YARA

猎人们最常提到的威胁狩猎工具之一是 YARA。YARA 是一个具有有趣传统的工具。虽然，它的最初目的是用于恶意软件分类的，但这种格式已经成为猎手们的热门选择。这是因为以 YARA 格式编写的规则，可以被安全机制获取，用于检测恶意软件。这些规则也可以在 VirusTotal 等网站上使用，以找到特定的恶意软件，甚至是敏感的公司文件

有大量的工具可以利用 YARA，包括 YARAGenerator。YARAGenerator 允许威胁猎手为特定恶意软件样本，自动建立 YARA 规则

威胁狩猎，通常被认为是一种工具和密集型学科，而且也确实如此。但是，这并不意味着威胁猎手，完全依赖那些昂贵的商业工具。事实上，许多人更依赖免费工具。这些免费的工具使他们能够在没有大笔费用的情况下，解决大型复杂的问题

0x09 微软 Sysinternals 套件

链接：https://docs.microsoft.com/en-us/sysinternals/

这套工具在三个主要方面对威胁猎手非常有帮助：

• Process Explorer (进程资源管理器)：将 Process Explorer 视为一个高度先进的任务管理器，它允许猎手不仅可以查看进程，还可以查看进程已加载的 DLL，以及已打开的注册表项。这在寻找可疑和恶意的行为时，变得非常宝贵
• Process Monitor (进程监控器)：Process Monitor 类似于 Explorer，只是它更多地关注文件系统，并且可以帮助猎手发现可能发生的 “有趣” 变化
• Autoruns：这个程序非常适合帮助检测可能在启动时运行的可疑应用程序，这在寻找系统持久性迹象时非常方便

0x10 KANSA

链接：https://github.com/davehull/Kansa

另一个对威胁狩猎和事件响应，都非常有用的工具是 Kansa，它是一个自称为 “Powershell 中的模块化事件响应框架” 的工具。该工具有一项主要功能，而且做得很好。Kansa 使用 PowerShell Remoting “用户在企业的主机上贡献模块，以收集数据，用于事件响应、漏洞搜索或建立环境基线”

这可以使收集大量的数据变得更加容易，更重要的是，它还可以更快地建立基线。对于猎人来说，他们面临的最大挑战之一，可能是在他们的环境中建立 “什么是正常” 的基线。Kansa 可以帮助猎人，极大地加快这项任务的进度

0x11 KROLL 组件解析器和提取器 (KAPE)

链接：https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape

一个被IR专业人员和数字取证人员广泛使用的工具是 KAPE（或称 Kroll Artifact Parser and Extractor）。KAPE 允许安全分析师设置特定的 “目标”（基本上是文件系统中的特定位置），并自动解析结果，收集所有证据。但它并不只是一个美化的复制和粘贴的工具。它还通过关联和相关数据（如 EvidenceOfExecution、BrowserHistory等）进行解析，以加快分类和分析

然而，威胁猎手也可以从这个工具中看到很多价值，特别是如果他们试图在狩猎过程中从主机中收集相关信息时

0x12 GHIDRA

链接：https://ghidra-sre.org

如果你已经在恶意软件逆向工程领域混了一段时间，你可能熟悉 IDA Pro 和 GHIDRA 等工具，后者是由美国国家安全局设计的，GHIDRA 为安全研究人员提供了多种工具，例如调试器、十六进制编辑器和反汇编器等工具，而且这些工具全都完全免费

在威胁狩猎方面，使用这些工具来分析工具和恶意软件，并了解它们的内部工作原理可能是关键所在

0x13 REGSHOT

链接：https://github.com/Seabreg/Regshot

虽然我们的一些工具（如 GHIDRA 和 Sysinternals）在规模和范围上都是单一的，但 Regshot 恰恰相反。Regshot 类似于屏幕截图工具和 “diff” Linux 命令行工具，但却是针对你的注册表。它允许猎人快速、轻松地获取其注册表的完整 “屏幕截图”，然后进行第二次 “屏幕截图” 并找出不同之处

当猎人试图查看基线中发生的变化，甚至是重启之间可能发生的变化时，这可能非常有用。

0x14 UACME

链接：https://github.com/hfiref0x/UACME

UACME（或UAC-ME）是一个工具，它可以让任何人使用各种方法轻松击败 Windows 用户账户控制。我们绝对不是在纵容将这个工具用于恶意目的，但当你在寻找恶意行为的蛛丝马迹，并且你想建立检测内容时，这个工具可以大大简化这一过程

参考链接：

https://blog.csdn.net/Ananas_Orangey/article/details/129491146

你以为你有很多路可以选择，其实你只有一条路可以走