网络安全
GitHub 武器库:用于打击网络犯罪的开源工具
在不断演变的网络威胁环境中,GitHub 上的开源工具提供了一道强大的防线。
打击网络犯罪是一项全球性的努力,开源社区在其中发挥着至关重要的作用。作为全球领先的软件开发平台,GitHub 托管了大量旨在检测、分析和应对各类网络威胁的工具,其中包括无处不在的网络钓鱼威胁。
开源在网络安全领域的力量
开源项目具有无与伦比的透明度,使全球的安全研究人员和开发人员能够仔细审查代码、发现漏洞并为改进做出贡献。这种协作模式促进了快速创新,并针对复杂的网络攻击,打造出经社区验证的、稳健的解决方案。
防范网络钓鱼的关键资源
除了通用的网络安全工具外,还有一些专门的资源对于直接应对网络钓鱼攻击具有不可估量的价值。这些工具包括实时威胁情报源、URL 分析服务以及由社区维护的屏蔽列表:
- TweetFeed.live: 提供网络威胁情报的实时更新,通常包括关于社交媒体上传播的网络钓鱼活动的早期预警。
- Phish.Report: 一个用于举报钓鱼网站的平台,其数据将汇入一个共享数据库,有助于拦截恶意网址。
- URLQuery.net: 提供一项免费服务,用于分析可疑网址,并就其行为及潜在威胁生成详细报告。
- ThreatView.io 实验性 IOC 推文: 从推文中提取的“入侵指标”(IOC)原始数据源,可用于自动化威胁检测系统。
- Polkadot-JS 钓鱼攻击代码库: 一个专门用于追踪和检测针对 Polkadot 生态系统的网络钓鱼攻击的 GitHub 仓库。
- URLAbuse.com 公开数据: 提供一份已报告的滥用 URL 的公开列表,可用于更新屏蔽列表。
- MetaMask/eth-phishing-detect: 由 MetaMask 发起的一个开源项目,旨在检测和防范与以太坊相关的网络钓鱼攻击。
- Phishing.Army 封锁列表: 由 Phishing.Army 社区维护的、定期更新的已知网络钓鱼网址黑名单。
- VirusTotal URL 分析: 一项广泛使用的服务,用于分析可疑文件和URL,并整合了多个杀毒引擎和黑名单服务提供的分析结果。
- Phish Guard 蓝色款: 一款旨在帮助用户识别并规避网络钓鱼链接的网络应用程序。
- Netcraft 网络钓鱼报告: Netcraft 用于报告网络钓鱼网站的平台,为其全面的反网络钓鱼工作做出了贡献。
- Seal 钓鱼机器人(Telegram): 一个 Telegram 机器人,可帮助用户检查链接是否存在网络钓鱼行为,并举报可疑活动。
- URLScan.io: 一项免费服务,用于扫描和分析网站,并就其内容、技术以及潜在的恶意活动提供详细报告。
“在 PhishDestroy,我们坚信协作与透明度在网络安全领域的力量。我们的工作始终基于与开源精神相契合的原则。”
OSINT调查员工具包
除了黑名单之外,真正的调查还需要更深入的监控手段。以下这些开源工具构成了任何钓鱼攻击打击工作流的骨干——它们均免费、支持脚本化,并且经过了社区的实战检验:
- urlscan.io — 沙箱化 URL 分析:完整的 DOM 快照、屏幕截图、网络请求、证书详细信息。在网站下线前,这是保存证据不可或缺的步骤。
- VirusTotal — 针对 URL、文件、IP 地址和哈希值的多引擎声誉查询。在此提交钓鱼网址,可将检测结果同步至数十家杀毒软件/EDR 厂商。
- 初段 — 物联网和外露服务搜索引擎。用于绘制诈骗者基础设施图谱、识别托管集群以及发现控制面板。
- Censys — 证书透明度与横幅搜索;从一个 TLS 证书扩展到一百个相关域名,在这里是家常便饭。
- crt.sh — 免费证书透明度日志搜索,非常适合发现针对受保护品牌的、新签发的仿冒证书。
- 互联网档案馆 — 保存了快照,即使原始网站消失后,这些快照依然存在。
- WHOIS & ViewDNS.info — 注册信息查询、反向IP查询和DNS跳转。
- Maltego CE — 基于图的链接分析;非常适合可视化跨越电子邮件、域名、IP 和社交媒体节点的诈骗者网络。
- theHarvester — 从公开来源收集电子邮件地址、子域名、主机名和员工姓名。
- Kali Linux — 预装了数百种OSINT和安全工具的发行版。
浏览器端防御措施
大多数网络钓鱼受害者都是在点击链接时中招的。浏览器层防御措施能在攻击尚未波及钱包之前就将其拦截:
- MetaMask eth-phishing-detect — MetaMask 及许多 Web3 钱包自带的域名黑名单,可在已知钓鱼页面加载前将其拦截。
- PhishDestroy 销毁列表 — 13万多个经过筛选的活跃诈骗和网络钓鱼域名,提供多种格式(DNS、hosts、JSON、CSV),可直接集成到Pi-hole、AdGuard、浏览器扩展程序或企业防火墙中。
- PhishFort 列表 — 由社区维护的加密钓鱼黑名单。
- uBlock Origin + 隐私卫士 — 过滤广告和追踪器,大幅降低接触恶意广告投放渠道的风险。
- ScamSniffer — 一个 Web3 诈骗数据库扩展程序,可在页面上实时显示“资金抽取合约”的风险。
威胁情报源
如果您运营着SOC、CERT或安全平台,请订阅以下关于活跃钓鱼基础设施的公开数据源:
- destroylist — 自动更新,13万余种威胁,免费API,多种格式。
- OpenPhish — 采用纯文本格式的社区钓鱼信息源。
- PhishTank — 已确认的钓鱼网址(思科/OpenDNS)。
- URLhaus (abuse.ch) — 用于传播恶意软件的URL。
- TweetFeed — 从信息安全社交媒体上收集到的IOC。
- ScamSniffer 诈骗数据库 — Web3 黑名单。
YARA、诱捕系统与主动防御
- PhishingKit-Yara-规则 — 检测 HTML/JS 中已知的钓鱼工具包指纹。
- Yara规则 — 由社区维护的规则库。
- 蜜罐 & canary tokens — canarytokens.org, 《迷宫行者》CE版.
- “捣毁行动” — 我们自己编写的、用于破坏正在进行的网络钓鱼活动的脚本集合。
工作流程——从线索到破案
典型的调查会将这些工具串联起来:
- 收到一条潜在客户线索 — 一份社区报告(Telegram 机器人),付费广告解析器检测到的异常,或CT日志警报。
- 确认钓鱼行为 — 通过 urlscan.io 进行沙箱测试;并与 VirusTotal、OpenPhish、PhishTank 进行交叉核对。
- 地图基础设施 — 通过 Censys/Shodan 进行关联分析,查找相关域名、IP 地址和证书。
- 保全证据 — Wayback 快照、urlscan 存档、完整的 HTML/JS 抓取、屏幕截图。
- 通知合作伙伴 — 向50多家反恶意软件供应商提交报告,向域名注册商/主机服务商举报滥用行为,并将信息同步至MetaMask和ScamSniffer的信息流。
- 显示器 — 确认已下线;留意其是否会通过邻近的IP地址或新注册的相似域名重新出现。
阅读更多:一次击倒的剖析 · 助长诈骗行为的域名注册商 · 加密货币安全指南
通过利用这些开源工具,个人、小型企业和大型企业都能显著提升其网络安全水平。开源社区中的集体智慧和持续发展,是持续打击网络犯罪过程中不可或缺的宝贵资产。请保持警惕,及时了解最新动态,并利用开源的力量来保护自己和所在社区。
#OpenSource#Cybersecurity#AntiPhishing#GitHub
