許多公司在構建網絡安全能力時，通常會從防火墻、防病毒、入侵檢測和身份驗證等方面來起步。當這些防護能力建設完成后，企業就會逐漸將資源投入到更復雜的主動安全實踐中，例如威脅狩獵。傳統的安全防御方法通常是在威脅發生后才開始工作，相比之下，威脅狩獵則是一種不同的處理方法。

組織實施威脅狩獵計劃的核心目標就是要縮短出現危險和完成攻擊之間的時間差，即所謂的“停留時間”。當攻擊行為者在企業環境中停留的時間越長，他們可能造成的傷害后果就越大。更確切地說，威脅狩獵需要能夠發現傳統安全工具未檢測到的風險，并幫助企業分析和提高現有威脅檢測機制和流程的有效性，提出合理的安全性優化建議。此外，它們還需要能夠識別新的攻擊手法、戰術、技術和程序 (TTP)，從而發起全新的威脅處置任務。

盡管安全分析師可以人工方式完成以上各種任務，但是在效率和時間上很難滿足企業的實際應用需求。更有效的威脅狩獵工作應該是在高度自動化的流程中完成，充分利用UEBA、機器學習等技術手段為分析師提供幫助。企業在選型威脅狩獵工具時，應該重點關注以下功能：

• 是否能夠為安全分析師提供各種安全事件的信息收集服務。
• 是否可以聚合數據，形成統一的事件記錄情報。
• 是否支持多樣化的威脅檢測策略。
• 是否具有人工分析的選項。
• 自動響應設置能力是否強大。
• 是否可以在正式購買前提供試用。

本文收集整理了目前較受安全分析師青睞的10款免費開源威脅搜尋工具，并對其應用特點進行了分析：

1、AIEngine

AIEngine是一款典型的威脅態勢驅動識別工具，支持Python、Ruby、Java和Lua的數據包安全檢測引擎，通過這種交互式工具，企業可以進一步提升網絡系統的入侵檢測能力。

AIEngine的主要功能包括下一代交互式入侵檢測系統、DNS域分類、網絡收集器、網絡取證分析及其他安全檢測功能。通過使用AIEngine，安全分析師可以快速檢測垃圾郵件和收集網絡信息，進一步提升網絡取證分析的能力;還可以使用該工具更深入地理解流量，并為防火墻和安全軟件創建威脅特征。

傳送門：

https://github.com/camp0/aiengine。

2、APT-Hunter

APT- Hunter是由Ahmed Khlief設計開發，是一款面向Windows事件日志的威脅搜尋工具，可以檢測可疑活動，并跟蹤高級持續性威脅(APT)活動。它對威脅分析師、事件響應人員和取證調查人員大有幫助。該工具的默認規則是將Mitre ATT&CK戰術與Windows事件日志的ID對應起來，從而快速檢測攻擊指標(包括APT技術)。

免費版的APT-Hunter可以根據已發現的APT攻擊情報信息識別系統中的APT活動，通過更快速的攻擊檢測來縮短響應時間，并迅速遏制和根除攻擊。很多安全團隊也會將它用作警報過濾器，從數百萬個告警事件，篩選出少數需要立即處置的高危事件。APT-Hunter有兩個配套組件可以為用戶提供所需的數據，這個程序可用于加快Windows日志分析，但只能部分取代。

傳送門：

https://github.com/ahmedkhlief/APT-Hunter。

3、Attacker KB

每次當新的漏洞時，企業的安全團隊都會急于了解：這個漏洞的覆蓋范圍有多廣?攻擊者或威脅分子會利用這個漏洞嗎?為了修復或緩解漏洞而放棄其他工作是否值得?在大多數情況下，安全專家會落后于黑客們掌握漏洞可以被利用的情形和性質。Attacker KB的作用就是記錄、展示和匯總各大安全社區中關于漏洞利用的專業知識。

作為一種威脅搜尋解決方案，Attacker KB可以幫助安全分析師更好地了解漏洞，包括信息披露、技術評估、結果、可利用性和實際可用性等。這些信息讓安全分析師可以快速識別和排序最近漏洞和以往漏洞，并可以確定哪些漏洞可能已經存在于本組織中。

傳送門：https://attackerkb.com/。

4、Automater

Automater是一款由TekDefense提供的威脅搜尋工具，可以分析URL、域和哈希，以簡化入侵分析。通過使用Automater，企業可以選定一些具體的目標參數，并從廣泛的公開信息源收集相關信息。

Automater是一款用Python開發的工具，放在GitHub平臺上供人使用。它是免費開源的，可以通過GitHub訪問。Automate的交互界面非常友好，即使對初學者也可以快速掌握，不用修改Python代碼即可使用它。此外，用戶可以選擇自定義要檢查的信息源和信息類型。

分析師們還可以使用Automater針對IP地址、MD5哈希和域進行搜索，企業可以從一些值得信賴的網站獲取和Automater相關的工具，包括：Unshorten.me、Urlvoid.com、IPvoid.com、Robtex.com、Fortiguard.com、 Labs.alienvault.com、ThreatExpert、VxVault和VirusTotal。

傳送門：

https://github.com/1aN0rmus/TekDefense-Automater。

5、BotScout

BotScout是一款可以防止機器人程序在網站上填寫惡意表單、發送垃圾郵件以及注冊論壇的威脅搜尋工具。這款工具可以跟蹤機器人程序的名稱、IP地址和電子郵件地址，并將它們作為關鍵特征來存儲和記錄。用戶可以通過APP來查詢由BotScout提供的特征數據，并評估提交到互聯網上的表單是否安全。

除了手動搜索BotScout數據庫查找論壇上的機器人程序外，用戶還可以使用聯系表單或其他Web應用程序來測試機器人程序，并根據結果進行相關的后續操作。BotScout還可以提供定制化的反惡意機器人程序插件。該工具的典型用戶包括了甲骨文公司、德意志銀行、那不勒斯銀行、華盛頓大學和米蘭大學等。

傳送門：https://botscout.com/

6、CrowdFMS

CrowdFMS是一個收集和處理釣魚郵件信息樣本的自動化程序。一旦企業的員工收到惡意的釣魚郵件，就會自動觸發警報。通過使用專有的API架構，CrowdFMS提供了一個框架，用于自動收集和處理來自VirusTotal的釣魚郵件樣本。當框架下載最近的樣本后，針對用戶的惡意郵件和釣魚通知內容就會被識別并觸發警報。用戶還可以通過CrowdFMS定制運行這些樣本的特定命令。

傳送門：

https://github.com/CrowdStrike/CrowdFMS。

7、Cuckoo Sandbox

Cuckoo Sandbox是一款分析惡意軟件的開源工具。它可以免費下載使用，但由于需要大量的依賴項支持，其安裝配置的難度較大。不過一旦成功安裝，它對使用者會大有幫助。

該工具可以分析各種惡意文件，包括可執行文件、辦公文檔、PDF、電子郵件、腳本和網站。由于開源特性和可靠的模塊化設計，用戶可以根據實際需要來定制分析環境、數據處理和報告階段。

用戶可以在Windows、Linux、macOS和Android虛擬化環境下使用Cuckoo Sandbox來檢測惡意文件和網站。Volatility和YARA還允許針對受感染的虛擬化系統逐個進程地執行復雜的內存分析。

Cuckoo Sandbox有兩個重要的組成：首先，它是一個Linux Ubuntu主機，內置了Windows 7系統。基于Python的Cuckoo主軟件包被安裝在Ubuntu主機上，一并安裝的幾個依賴項經配置后可充分利用Cuckoo的模塊化;此外，在Ubuntu主機上，安裝VirtualBox，并創建Windows 7客戶。Cuckoo代理可以安裝在Windows 7系統上，支持兩個設備之間的通信。

傳送門：

https://github.com/cuckoosandbox

8、DeepBlueCLI

DeepBlueCLI是一款由Eric Conrad開發的開源工具，可以在運行ELK(Elasticsearch、Logstash和Kibana)的Linux/Unix系統或Windows(PowerShell版本)系統上自動分析安全事件日志。

DeepBlueCLI能夠快速檢測Windows安全、系統、應用程序、PowerShell和Sysmon日志中發現的特定事件。此外，DeepBlueCLI還可以快速處理保存或存檔的EVTX文件。盡管它查詢活動事件日志服務所需時間會稍長，但整體上還是很高效。

傳送門：

https://github.com/sans-blue-team/DeepBlueCLI。

9、CyberChef

CyberChef是由GCHQ開發的Web應用程序，在行業中有“網絡瑞士軍刀”的美譽。它采用了Apache 2.0許可證，受到Crown Copyright版權的保護。

用戶可以在網絡瀏覽器中直接使用CyberChef，進行創建二進制和十六進制轉儲、壓縮/解壓縮數據、計算哈希和校驗和、解析IPv6和X.509以及更改字符編碼的操作，同時還包括進行XOR和Base64編碼。

借助該程序，安全分析師能夠以一種非常簡單的方式修改和使用數據，對數據執行編碼、解碼、格式化、par、壓縮和提取等操作，還可以執行大規模的數學運算。

傳送門：

https://github.com/gchq/CyberChef。

10、Phishing Catcher

Phishing Catcher主要通過檢查提交到證書透明度日志(CTL)的可疑TLS證書信息來發現潛在的釣魚和網絡欺詐活動。其最重要的優點是幾乎實時運行。由于它是通過Python編寫，并使用YAML進行配置，所以還非常易于使用。

據GitHub顯示，Phishing Catcher可以使用YAML配置文件來進行使用策略配置，用戶也可以下載并執行默認配置來實現快速部署。不過從安全方面考慮，建議企業用戶盡快調整默認配置。在macOS系統下，Phishing Catcher的安裝可能有難度，企業可以考慮對該工具進行容器化處理。

傳送門：

https://github.com/x0rz/phishing_catcher。

參考鏈接：

https://heimdalsecurity.com/blog/10-free-open-source-threat-hunting-tools/。