在不斷發展的網路安全和網路分析世界中,能夠整合多個來源資訊的高效工具是無價的。一種名為 wtfis 的新命令列工具(巧妙地借鑑了傳統的 whois 命令)因其能夠使用各種開源情報(OSINT)服務收集有關域名、完全限定域名或 IP 地址的全面資訊而引起了安全專業人員和分析師的關注。
為人類使用而設計的工具
wtfis 與類似工具的區別在於其注重人類可讀性。該工具以視覺上吸引人的格式呈現資訊,採用色彩編碼的面板使複雜資料易於理解。這種設計理念與需要快速評估潛在威脅的安全運營中心(SOC)分析師產生了共鳴。
「我其實很驚訝以前沒人做這個,這正是 SOC 分析師所需要的。」
該工具的介面將結果組織成整潔、可讀的面板,同時呈現來自多個來源的資訊,消除了手動查詢不同服務並將結果拼湊在一起的需求。
全面的資料來源
wtfis 整合了來自幾個受尊敬的安全和情報服務的資料。該工具的核心使用 VirusTotal 進行主要資訊檢索,但它也可以從 P2Whois、IPWhois、Shodan、Greynoise、URLhaus 和 AbuseIPDB 獲取資料。這種資源整合為使用者提供了他們正在調查的實體的全面檢視,包括信譽評分、IP 解析、地理位置資料、開放埠和潛在惡意活動標誌。
對於需要定期調查可疑域名或 IP 的安全專業人員來說,這種多源方法與手動單獨檢查每個服務相比節省了大量時間。
wtfis 使用的資料來源:
| 服務 | 用於查詢 | 必需 | 免費層級 |
|---|---|---|---|
| Virustotal | 全部 | 是 | 是 |
| P2Whois | 域名/FQDN | 否 | 是 |
| IPWhois | IP 地址 | 否 | 是(需註冊) |
| Shodan | IP 地址 | 否 | 否 |
| Greynoise | IP 地址 | 否 | 是(需註冊) |
| URLhaus | 全部 | 否 | 是 |
| AbuseIPDB | IP 地址 | 否 | 是 |
主要特點:
- 具有色彩編碼面板的人類可讀輸出
- 最小化 API 呼叫以避免達到速率限制
- 終端中的可點選超連結(當支援時)
- 使用各種命令標誌的可自定義輸出
- 支援 Docker 容器化使用
隱私和 API 考慮
一些社群成員對該工具的隱私影響表示擔憂,指出它需要各種服務的 API 金鑰,其中 VirusTotal API 金鑰是必需的。雖然這一要求是該工具功能的固有特性,但討論中的使用者指出,獲取這些金鑰並不一定需要提供大量個人資訊。
該工具在設計時考慮了 API 使用效率,儘可能減少呼叫次數,以最小化免費賬戶的配額和速率限制。這一考慮使 wtfis 在不需要底層服務的高階訂閱的情況下也能實用地定期使用。
設定和自定義
開始使用 wtfis 需要安裝該工具(可透過 brew 和 conda 等包管理器獲取)並透過環境變數或配置檔案配置必要的 API 金鑰。雖然一些使用者指出,由於可能需要的 API 金鑰數量較多,這個設定過程可能有些繁瑣,但他們承認這是考慮到工具功能的必要之惡。
該工具提供了幾種自定義選項,包括透過環境變數設定預設引數的能力,控制顯示的 IP 解析數量,以及切換特定資料來源的使用。這種靈活性允許使用者根據他們的特定需求和可用的 API 金鑰來定製輸出。
在效率和全面資訊收集至關重要的行業中,wtfis 似乎透過將多個 OSINT 來源組合到一個對人類友好的介面中,填補了之前未解決的需求。正如一位社群成員恰當地建議,如果你正在尋找一個非褻瀆性的反向縮略詞,也許What's That Funny Internet Site?(那個有趣的網際網路站點是什麼?)會很合適。
參考:wtfis