analyzing-malicious-url-with-urlscan

URLScan.io 是一项用于扫描和分析可疑 URL 的免费服务,可在隔离环境中捕获网页的截图、DOM 内容、HTTP 事务、JavaScript 行为和网络连接。

9 stars

Best use case

analyzing-malicious-url-with-urlscan is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

URLScan.io 是一项用于扫描和分析可疑 URL 的免费服务,可在隔离环境中捕获网页的截图、DOM 内容、HTTP 事务、JavaScript 行为和网络连接。

Teams using analyzing-malicious-url-with-urlscan should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/analyzing-malicious-url-with-urlscan/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/analyzing-malicious-url-with-urlscan/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/analyzing-malicious-url-with-urlscan/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How analyzing-malicious-url-with-urlscan Compares

Feature / Agentanalyzing-malicious-url-with-urlscanStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

URLScan.io 是一项用于扫描和分析可疑 URL 的免费服务,可在隔离环境中捕获网页的截图、DOM 内容、HTTP 事务、JavaScript 行为和网络连接。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 URLScan 分析恶意 URL

## 概述
URLScan.io 是一项用于扫描和分析可疑 URL 的免费服务,可在隔离环境中捕获网页的截图、DOM 内容、HTTP 事务、JavaScript 行为和网络连接。本 skill 涵盖使用 URLScan 的 Web 界面和 API 调查钓鱼(phishing)URL、凭据收割页面和恶意重定向,而无需将分析师的系统暴露于风险中。

## 前置条件
- URLScan.io 账号(提供免费层级,自动化操作需要 API key)
- Python 3.8+ 及 requests 库
- 了解 HTTP 协议和 Web 技术
- 熟悉钓鱼 URL 模式

## 核心概念

### URLScan 功能
1. **安全浏览**:在隔离的 Chromium 实例中渲染 URL
2. **截图捕获**:渲染页面的可视快照
3. **DOM 分析**:JavaScript 执行后的完整 HTML 内容
4. **网络日志**:页面发出的所有 HTTP 请求(HAR 格式)
5. **证书分析**:SSL/TLS 证书详情
6. **技术检测**:识别 Web 框架和库
7. **IP/ASN 映射**:基础设施情报
8. **裁决(Verdict)**:社区和自动化分类

### 钓鱼 URL 危险信号
- 新注册域名(< 30 天)
- 免费托管服务(Wix、GitHub Pages、Firebase)
- 隐藏最终目标的 URL 短链接
- 过多的子域名层级(login.microsoft.com.evil.com)
- 品牌名在子域或路径中,而非在域名中
- 非标准端口
- Data URI 或 Base64 编码内容
- JavaScript 密集、HTML 极少的页面

## 实施步骤

### 步骤 1:向 URLScan 提交 URL
```
Web:访问 https://urlscan.io 并提交可疑 URL
API:POST https://urlscan.io/api/v1/scan/
     Header: API-Key: your-api-key
     Body: {"url": "https://suspicious-url.com", "visibility": "private"}
```

### 步骤 2:分析结果
- 查看截图中的品牌仿冒(brand impersonation)情况
- 检查重定向和最终目标 URL
- 检查 DOM 中的凭据输入表单
- 审查网络请求中的数据外泄端点
- 检查 SSL 证书有效性和签发者

### 步骤 3:提取 IOC(失陷指标)
- 已联系的域名和 IP
- 重定向链中的 URL
- 页面资源的 SHA-256 哈希
- JavaScript 文件哈希

### 步骤 4:与威胁情报交叉比对
使用 `scripts/process.py` 自动化 URL 扫描、提取 IOC,并与 VirusTotal、PhishTank 和 Google Safe Browsing 交叉比对。

## 工具与资源
- **URLScan.io**:https://urlscan.io/
- **URLScan API**:https://urlscan.io/docs/api/
- **VirusTotal URL 扫描器**:https://www.virustotal.com/
- **PhishTank**:https://phishtank.org/
- **Google Safe Browsing**:https://transparencyreport.google.com/safe-browsing/search
- **Any.Run**:https://any.run/(交互式沙箱)
- **Hybrid Analysis**:https://www.hybrid-analysis.com/

## 验证
- 通过 API 成功扫描可疑 URL
- 提取截图并识别品牌仿冒
- 记录完整重定向链
- 从扫描结果生成 IOC 列表
- 将发现与至少 2 个威胁情报来源交叉比对

Related Skills

detecting-malicious-scheduled-tasks-with-sysmon

9
from killvxk/cybersecurity-skills-zh

使用 Sysmon 事件 ID 1(schtasks.exe 进程创建)、11(任务 XML 文件创建)以及 Windows 安全事件 4698/4702 检测恶意计划任务的创建和修改。分析人员将任务创建与可疑父进程、公共目录路径和编码命令参数相关联, 以识别通过计划任务进行的持久化和横向移动。适用于计划任务检测、Sysmon 持久化狩猎或 T1053.005 计划任务/作业分析。

analyzing-windows-shellbag-artifacts

9
from killvxk/cybersecurity-skills-zh

分析 Windows ShellBag 注册表取证痕迹,使用 SBECmd 和 ShellBags Explorer 重建文件夹浏览活动,检测对可移动介质和网络共享的访问,并在删除后仍能确认用户与目录的交互行为。

analyzing-windows-registry-for-artifacts

9
from killvxk/cybersecurity-skills-zh

提取并分析 Windows 注册表配置单元,以发现用户活动、已安装软件、自启动条目及系统入侵证据。

analyzing-windows-prefetch-with-python

9
from killvxk/cybersecurity-skills-zh

使用 windowsprefetch Python 库解析 Windows Prefetch 文件,重建应用程序执行历史,检测重命名或伪装的二进制文件,并识别可疑的程序执行模式。

analyzing-windows-lnk-files-for-artifacts

9
from killvxk/cybersecurity-skills-zh

解析 Windows LNK 快捷方式文件,提取目标路径、时间戳、卷信息和机器标识符,用于取证时间线重建。

analyzing-windows-event-logs-in-splunk

9
from killvxk/cybersecurity-skills-zh

在 Splunk 中分析 Windows Security、System 和 Sysmon 事件日志,使用映射到 MITRE ATT&CK 技术的 SPL 查询检测身份验证攻击、权限提升(Privilege Escalation)、持久化(Persistence)机制和横向移动 (Lateral Movement)。适用于 SOC 分析师调查基于 Windows 的威胁、构建检测查询,或对 Windows 终端和域控制器执行取证时间线分析。

analyzing-windows-amcache-artifacts

9
from killvxk/cybersecurity-skills-zh

解析并分析 Windows Amcache.hve 注册表配置单元(Registry Hive),提取程序执行证据、文件元数据、 SHA-1 哈希及设备连接历史,用于数字取证(Digital Forensics)和事件响应(Incident Response)调查。

analyzing-web-server-logs-for-intrusion

9
from killvxk/cybersecurity-skills-zh

解析 Apache 和 Nginx 访问日志,检测 SQL 注入(SQL Injection)尝试、本地文件包含(Local File Inclusion)、 目录遍历(Directory Traversal)、Web 扫描器指纹及暴力破解(Brute Force)模式。 使用基于正则表达式的模式匹配对照 OWASP 攻击签名、GeoIP 富化进行来源溯源, 以及针对请求频率和响应大小异常值的统计异常检测。

analyzing-usb-device-connection-history

9
from killvxk/cybersecurity-skills-zh

从 Windows 注册表、事件日志和 setupapi 日志调查 USB 设备连接历史,以追踪可移动存储设备的使用情况和潜在的数据外泄行为。

analyzing-typosquatting-domains-with-dnstwist

9
from killvxk/cybersecurity-skills-zh

使用 dnstwist 生成域名置换变体并识别针对您所在组织已注册的仿冒域名,从而检测域名抢注(Typosquatting)、同形字符钓鱼和品牌冒充域名。

analyzing-tls-certificate-transparency-logs

9
from killvxk/cybersecurity-skills-zh

通过 crt.sh 和 pycrtsh 查询证书透明度(Certificate Transparency)日志,检测钓鱼域名、未授权证书签发和影子 IT。使用 Levenshtein 距离监控新签发证书中的仿域名和品牌仿冒行为。适用于主动检测钓鱼域名和证书监控。

analyzing-threat-landscape-with-misp

9
from killvxk/cybersecurity-skills-zh

使用 MISP(恶意软件信息共享平台)通过查询事件统计、属性分布、威胁行为者 galaxy 集群和标签趋势来分析威胁态势。使用 PyMISP 拉取事件数据、计算 IOC 类型分布、识别顶级威胁行为者和恶意软件家族,并生成含时序趋势的威胁态势报告。