如何使用Associated-Threat-Analyzer检测跟Web应用程序相关的恶意IPv4地址和域名

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

工具

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

如何使用Associated-Threat-Analyzer检测跟Web应用程序相关的恶意IPv4地址和域名

Alpha_h4ck 2023-10-11 11:19:26 125463

本文由 Alpha_h4ck 创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

关于Associated-Threat-Analyzer

Associated-Threat-Analyzer是一款功能强大的恶意地址检测工具，该工具基于Python 3开发，可以使用本地恶意域名列表和IPv4地址列表来帮助广大研究人员检测与自己Web应用程序相关的恶意IPv4地址或域名。

默认恶意IP和域名数据源

BlackBook：【传送门】
IPSum：【传送门】

工具要求

Python 3.x
Docker（可选）

工具安装

由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好Python 3环境。如果你想使用Docker的话，则选择配置好Docker环境。

Git源码安装

广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/OsmanKandemir/associated-threat-analyzer.git

然后切换到项目目录中，使用pip3工具和项目提供的requirements.txt文件安装该工具所需的其他依赖组件：

cd associated-threat-analyzer

pip3 install -r requirements.txt

Dockerfile安装

我们还可以在一个Docker容器中运行Associated-Threat-Analyzer，但我们首先要构建一个Dockerfile。

需要注意的是，如果你想要运行一个Docker容器，我们建议使用研究人员自己的恶意IP和域名列表，因为容器可能无法在Docker镜像中更新默认的恶意IP和域名列表。

docker build -t osmankandemir/threatanalyzer .

docker run osmankandemir/threatanalyzer -d target-web.com

DockerHub安装

docker pull osmankandemir/threatanalyzer

docker run osmankandemir/threatanalyzer -d target-web.com

工具使用

python3 analyzer.py -d target-web.com

工具参数选项

-d DOMAIN , --domain DOMAIN 输入要检测的目标地址，例如--domain target-web1.com；

-t DOMAINSFILE, --DomainsFile 设置要匹配的恶意域名地址列表，例如：-t SampleMaliciousDomains.txt

-i IPSFILE, --IPsFile 设置要匹配的恶意IP地址列表，例如：-i SampleMaliciousIPs.txt；

-o JSON, --json JSON  以JSON格式输出数据，例如：--json；