collecting-open-source-intelligence
使用公开可用的数据源、被动侦察工具和暗网监控,收集并综合关于威胁行为者、恶意基础设施和攻击活动的开源情报(OSINT)。适用于调查外部威胁行为者基础设施、为授权红队评估执行预参与侦察,或使用公开对手上下文丰富 CTI 报告。适用于涉及 Maltego、Shodan、OSINT framework、SpiderFoot 或基础设施侦察的请求。
Best use case
collecting-open-source-intelligence is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
使用公开可用的数据源、被动侦察工具和暗网监控,收集并综合关于威胁行为者、恶意基础设施和攻击活动的开源情报(OSINT)。适用于调查外部威胁行为者基础设施、为授权红队评估执行预参与侦察,或使用公开对手上下文丰富 CTI 报告。适用于涉及 Maltego、Shodan、OSINT framework、SpiderFoot 或基础设施侦察的请求。
Teams using collecting-open-source-intelligence should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/collecting-open-source-intelligence/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How collecting-open-source-intelligence Compares
| Feature / Agent | collecting-open-source-intelligence | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
使用公开可用的数据源、被动侦察工具和暗网监控,收集并综合关于威胁行为者、恶意基础设施和攻击活动的开源情报(OSINT)。适用于调查外部威胁行为者基础设施、为授权红队评估执行预参与侦察,或使用公开对手上下文丰富 CTI 报告。适用于涉及 Maltego、Shodan、OSINT framework、SpiderFoot 或基础设施侦察的请求。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 收集开源情报
## 适用场景
在以下情况下使用本技能:
- 调查针对您组织的网络钓鱼活动所关联的外部基础设施
- 使用可公开观察的指标(WHOIS、ASN 数据、SSL 证书)丰富威胁行为者档案
- 开展授权的攻击面发现,了解组织的对外暴露情况
**请勿使用**本技能在未获得明确书面授权的情况下对目标进行主动扫描——OSINT 收集必须保持被动(不向目标系统发送任何数据包),除非授权范围允许主动侦察。
## 前置条件
- Maltego CE 或商业许可证,用于基于图谱的链接分析
- Shodan API 密钥(https://shodan.io),用于互联网范围的设备/服务发现
- 熟悉 OSINT Framework(https://osintframework.com),用于工具选择
- SpiderFoot HX 或开源版 SpiderFoot,用于自动化 OSINT 关联
## 工作流程
### 步骤 1:定义收集需求
在收集之前明确情报需求(IR)。记录以下内容:
- 目标:威胁行为者组织、恶意域名、IP 范围或组织机构
- 优先情报需求(PIR):需要回答哪些具体问题?
- 法律授权:被动 OSINT 是合法的;主动探测需要授权
- 数据处理:收集情报的 TLP 分类
### 步骤 2:被动 DNS 和 WHOIS 调查
```bash
# 通过 SecurityTrails API 进行被动 DNS 查询
curl "https://api.securitytrails.com/v1/domain/evil-domain.com/dns/a" \
-H "apikey: YOUR_KEY"
# 通过 ARIN / RIPE 查询 WHOIS 历史
whois -h whois.arin.net evil-domain.com
# 证书透明度日志(无需 API 密钥)
curl "https://crt.sh/?q=%.evil-domain.com&output=json" | jq '.[].name_value'
```
证书透明度日志可揭示目标域名的所有子域名,通常会暴露被无意公开的预发布环境、VPN 或内部基础设施。
### 步骤 3:Shodan 基础设施映射
```python
import shodan
api = shodan.Shodan("YOUR_SHODAN_API_KEY")
# 搜索特定 C2 框架特征(Cobalt Strike beacon)
results = api.search('product:"Cobalt Strike" port:443')
for r in results['matches']:
print(r['ip_str'], r['port'], r['org'], r.get('ssl', {}).get('cert', {}).get('subject', ''))
# 查找与已知威胁行为者 ASN 关联的基础设施
results = api.search('asn:AS12345 http.title:"Redirector"')
```
将 Shodan 结果与被动 DNS 关联,构建基础设施集群。
### 步骤 4:Maltego 图谱分析
在 Maltego 中,使用以下内置转换进行威胁行为者基础设施映射:
1. 从已知恶意域名开始(实体:Domain)
2. 运行"To IP Address [DNS]"→ 识别托管 IP
3. 运行"To Shared Hosting"→ 识别共同托管域名(可能属于同一威胁行为者)
4. 运行"To DNS Name [Reverse DNS]"→ 识别 PTR 记录
5. 运行"To Whois"→ 识别注册人邮箱/组织
6. 以注册人邮箱为枢纽 → "To Domains [Registrant Email]"→ 扩展到使用同一邮箱注册的所有域名
Maltego 网络威胁情报转换(VirusTotal、Shodan、PassiveTotal、URLScan)可扩展图谱覆盖范围。
### 步骤 5:暗网和粘贴站点监控
使用 SpiderFoot HX 或手动搜索:
- 粘贴站点(Pastebin、Ghostbin):搜索泄露的凭据、IOC、恶意软件配置
- 暗网论坛:通过 Tor 浏览器配合适当的操作安全措施
- GitHub/GitLab:搜索暴露的凭据或组织特定字符串
```bash
# SpiderFoot CLI 自动化 OSINT
python sf.py -s evil-domain.com -m sfp_shodan,sfp_virustotal,sfp_passivetotal \
-o TF -R result.json
```
## 核心概念
| 术语 | 定义 |
|------|------|
| **被动 OSINT** | 不向目标系统发送任何数据包的情报收集——使用公共数据库、搜索引擎、缓存数据 |
| **PIR** | 优先情报需求——情报收集必须回答的具体问题,防止无目的数据收集 |
| **证书透明度** | CA 颁发的所有 SSL/TLS 证书的公共日志,可通过 crt.sh 发现子域名 |
| **枢纽** | 使用一个数据点(IP、邮件、注册人名称)发现相关基础设施或账户 |
| **ASN** | 自治系统号——单一路由策略下的 IP 地址块;用于聚类威胁行为者基础设施 |
| **共同托管域名** | 解析到同一 IP 的多个域名,可能表明共享攻击者基础设施 |
## 工具与系统
- **Maltego**:基于图谱的链接分析平台,拥有 50+ 数据源转换,用于 IP、域名、邮件和社交媒体分析
- **Shodan**:互联网范围扫描数据库,索引超 10 亿设备;支持 banner、端口、SSL 证书和漏洞搜索
- **SpiderFoot**:自动化 OSINT 工具,拥有 200+ 模块,覆盖 DNS、WHOIS、暗网、泄露数据和社交媒体
- **Recon-ng**:基于 Python 的 OSINT 框架,模块化设计,用于域名、邮件和社交媒体侦察
- **crt.sh**:免费的证书透明度搜索引擎,用于子域名和证书发现
- **OSINT Framework (osintframework.com)**:按情报类别组织的 OSINT 工具精选目录
## 常见陷阱
- **留下数字足迹**:访问威胁行为者的网站或 Shodan 查询的 IP 可能提醒对手。使用 Tor 或 VPN 配合专用 OSINT 虚拟机。
- **图谱分析中的确认偏见**:Maltego 图谱可能产生虚假关联。在确认为可靠信息前,需独立验证每个枢纽点。
- **数据过时**:WHOIS 隐私服务和防弹托管频繁轮换。始终检查数据时间戳——6 个月前的被动 DNS 可能已不再有效。
- **归因过度自信**:基础设施重叠不能保证是同一威胁行为者。虚假旗帜行动会故意在不同组织间共享指标。
- **法律边界**:部分 OSINT 工具会执行主动扫描(端口扫描、banner 抓取)。在未获授权的情况下针对外部目标使用前,请确认工具行为。Related Skills
testing-for-open-redirect-vulnerabilities
通过分析 URL 重定向参数、绕过技术和利用链,识别并测试 Web 应用程序中的开放重定向漏洞,用于网络钓鱼和 Token 窃取。
performing-threat-intelligence-sharing-with-misp
使用 PyMISP 在 MISP 平台上创建、丰富和共享威胁情报事件,包括 IOC 管理、情报源集成、STIX 导出及社区共享工作流
performing-open-source-intelligence-gathering
开源情报(OSINT)收集是红队演练的第一个主动阶段,操作员收集关于目标组织的公开可用信息,以识别攻击面、社会工程学目标、技术栈和凭据泄露情况。
performing-log-source-onboarding-in-siem
在 SIEM 平台中执行结构化日志源接入,通过配置采集器、解析器、归一化和验证, 实现完整的安全可视化覆盖。
performing-authenticated-scan-with-openvas
使用 OpenVAS/Greenbone 漏洞管理(GVM)框架配置并执行凭据认证漏洞扫描,支持 SSH 和 SMB 凭据,实现全面的主机级别安全评估。
monitoring-darkweb-sources
监控暗网论坛、市场、粘贴站点和勒索软件泄露站点,寻找组织资产提及、泄露凭据、威胁攻击和威胁行为者通信,提供早期预警情报。当建立暗网监控覆盖、调查特定数据泄露声明,或用暗网背景丰富事件调查时使用。适用于涉及暗网 OSINT、泄露站点监控、凭据暴露、Recorded Future 暗网或 Tor 隐藏服务情报的请求。
managing-intelligence-lifecycle
管理端到端网络威胁情报生命周期,从规划和指导,经过收集、处理、分析、传播到反馈,确保情报产品满足相关方需求并持续改进。当建立或成熟化 CTI 计划、与业务相关方定义情报需求,或在情报消费者和生产者之间建立反馈循环时使用。适用于涉及 CTI 计划成熟度、情报需求、PIR 或情报生命周期管理的请求。
implementing-threat-intelligence-platform
构建以 MISP 为后端的威胁情报平台,从多个 Feed 摄入 IOC,通过 Galaxy 集群关联事件,并通过 VirusTotal 和 AbuseIPDB 富化指标。使用 PyMISP 创建事件、添加带 IDS 标志的属性、标记 MITRE ATT&CK 技术,并导出 STIX 2.1 Bundle 供下游 SIEM 消费。
implementing-threat-intelligence-lifecycle-management
实现结构化威胁情报生命周期,涵盖规划、收集、处理、分析、传播和反馈阶段,为组织决策生产可操作情报。
implementing-taxii-server-with-opentaxii
部署和配置 OpenTAXII 服务器,使用 TAXII 2.1 协议共享和消费 STIX 格式的网络威胁情报,实现组织间的自动化指标交换。
implementing-policy-as-code-with-open-policy-agent
本技能涵盖在 Kubernetes 和 CI/CD 管道中实施 Open Policy Agent(OPA)和 Gatekeeper 进行策略即代码执行。 内容包括编写 Rego 策略、将 OPA Gatekeeper 部署为 Kubernetes 准入控制器、在开发中测试策略, 以及将策略评估集成到部署管道中。
generating-threat-intelligence-reports
生成战略、操作和战术级别的结构化网络威胁情报报告,针对特定受众(包括高管、安全运营团队和技术分析师)量身定制。适用于从原始收集数据生成完成情报产品、创建行业威胁简报,或提供事后情报评估时。适用于涉及 CTI 报告写作、威胁简报、情报产品、完成情报或高管安全报告的请求。