collecting-open-source-intelligence

使用公开可用的数据源、被动侦察工具和暗网监控,收集并综合关于威胁行为者、恶意基础设施和攻击活动的开源情报(OSINT)。适用于调查外部威胁行为者基础设施、为授权红队评估执行预参与侦察,或使用公开对手上下文丰富 CTI 报告。适用于涉及 Maltego、Shodan、OSINT framework、SpiderFoot 或基础设施侦察的请求。

9 stars

Best use case

collecting-open-source-intelligence is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用公开可用的数据源、被动侦察工具和暗网监控,收集并综合关于威胁行为者、恶意基础设施和攻击活动的开源情报(OSINT)。适用于调查外部威胁行为者基础设施、为授权红队评估执行预参与侦察,或使用公开对手上下文丰富 CTI 报告。适用于涉及 Maltego、Shodan、OSINT framework、SpiderFoot 或基础设施侦察的请求。

Teams using collecting-open-source-intelligence should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/collecting-open-source-intelligence/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/collecting-open-source-intelligence/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/collecting-open-source-intelligence/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How collecting-open-source-intelligence Compares

Feature / Agentcollecting-open-source-intelligenceStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用公开可用的数据源、被动侦察工具和暗网监控,收集并综合关于威胁行为者、恶意基础设施和攻击活动的开源情报(OSINT)。适用于调查外部威胁行为者基础设施、为授权红队评估执行预参与侦察,或使用公开对手上下文丰富 CTI 报告。适用于涉及 Maltego、Shodan、OSINT framework、SpiderFoot 或基础设施侦察的请求。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 收集开源情报

## 适用场景

在以下情况下使用本技能:
- 调查针对您组织的网络钓鱼活动所关联的外部基础设施
- 使用可公开观察的指标(WHOIS、ASN 数据、SSL 证书)丰富威胁行为者档案
- 开展授权的攻击面发现,了解组织的对外暴露情况

**请勿使用**本技能在未获得明确书面授权的情况下对目标进行主动扫描——OSINT 收集必须保持被动(不向目标系统发送任何数据包),除非授权范围允许主动侦察。

## 前置条件

- Maltego CE 或商业许可证,用于基于图谱的链接分析
- Shodan API 密钥(https://shodan.io),用于互联网范围的设备/服务发现
- 熟悉 OSINT Framework(https://osintframework.com),用于工具选择
- SpiderFoot HX 或开源版 SpiderFoot,用于自动化 OSINT 关联

## 工作流程

### 步骤 1:定义收集需求

在收集之前明确情报需求(IR)。记录以下内容:
- 目标:威胁行为者组织、恶意域名、IP 范围或组织机构
- 优先情报需求(PIR):需要回答哪些具体问题?
- 法律授权:被动 OSINT 是合法的;主动探测需要授权
- 数据处理:收集情报的 TLP 分类

### 步骤 2:被动 DNS 和 WHOIS 调查

```bash
# 通过 SecurityTrails API 进行被动 DNS 查询
curl "https://api.securitytrails.com/v1/domain/evil-domain.com/dns/a" \
  -H "apikey: YOUR_KEY"

# 通过 ARIN / RIPE 查询 WHOIS 历史
whois -h whois.arin.net evil-domain.com

# 证书透明度日志(无需 API 密钥)
curl "https://crt.sh/?q=%.evil-domain.com&output=json" | jq '.[].name_value'
```

证书透明度日志可揭示目标域名的所有子域名,通常会暴露被无意公开的预发布环境、VPN 或内部基础设施。

### 步骤 3:Shodan 基础设施映射

```python
import shodan

api = shodan.Shodan("YOUR_SHODAN_API_KEY")

# 搜索特定 C2 框架特征(Cobalt Strike beacon)
results = api.search('product:"Cobalt Strike" port:443')
for r in results['matches']:
    print(r['ip_str'], r['port'], r['org'], r.get('ssl', {}).get('cert', {}).get('subject', ''))

# 查找与已知威胁行为者 ASN 关联的基础设施
results = api.search('asn:AS12345 http.title:"Redirector"')
```

将 Shodan 结果与被动 DNS 关联,构建基础设施集群。

### 步骤 4:Maltego 图谱分析

在 Maltego 中,使用以下内置转换进行威胁行为者基础设施映射:
1. 从已知恶意域名开始(实体:Domain)
2. 运行"To IP Address [DNS]"→ 识别托管 IP
3. 运行"To Shared Hosting"→ 识别共同托管域名(可能属于同一威胁行为者)
4. 运行"To DNS Name [Reverse DNS]"→ 识别 PTR 记录
5. 运行"To Whois"→ 识别注册人邮箱/组织
6. 以注册人邮箱为枢纽 → "To Domains [Registrant Email]"→ 扩展到使用同一邮箱注册的所有域名

Maltego 网络威胁情报转换(VirusTotal、Shodan、PassiveTotal、URLScan)可扩展图谱覆盖范围。

### 步骤 5:暗网和粘贴站点监控

使用 SpiderFoot HX 或手动搜索:
- 粘贴站点(Pastebin、Ghostbin):搜索泄露的凭据、IOC、恶意软件配置
- 暗网论坛:通过 Tor 浏览器配合适当的操作安全措施
- GitHub/GitLab:搜索暴露的凭据或组织特定字符串

```bash
# SpiderFoot CLI 自动化 OSINT
python sf.py -s evil-domain.com -m sfp_shodan,sfp_virustotal,sfp_passivetotal \
  -o TF -R result.json
```

## 核心概念

| 术语 | 定义 |
|------|------|
| **被动 OSINT** | 不向目标系统发送任何数据包的情报收集——使用公共数据库、搜索引擎、缓存数据 |
| **PIR** | 优先情报需求——情报收集必须回答的具体问题,防止无目的数据收集 |
| **证书透明度** | CA 颁发的所有 SSL/TLS 证书的公共日志,可通过 crt.sh 发现子域名 |
| **枢纽** | 使用一个数据点(IP、邮件、注册人名称)发现相关基础设施或账户 |
| **ASN** | 自治系统号——单一路由策略下的 IP 地址块;用于聚类威胁行为者基础设施 |
| **共同托管域名** | 解析到同一 IP 的多个域名,可能表明共享攻击者基础设施 |

## 工具与系统

- **Maltego**:基于图谱的链接分析平台,拥有 50+ 数据源转换,用于 IP、域名、邮件和社交媒体分析
- **Shodan**:互联网范围扫描数据库,索引超 10 亿设备;支持 banner、端口、SSL 证书和漏洞搜索
- **SpiderFoot**:自动化 OSINT 工具,拥有 200+ 模块,覆盖 DNS、WHOIS、暗网、泄露数据和社交媒体
- **Recon-ng**:基于 Python 的 OSINT 框架,模块化设计,用于域名、邮件和社交媒体侦察
- **crt.sh**:免费的证书透明度搜索引擎,用于子域名和证书发现
- **OSINT Framework (osintframework.com)**:按情报类别组织的 OSINT 工具精选目录

## 常见陷阱

- **留下数字足迹**:访问威胁行为者的网站或 Shodan 查询的 IP 可能提醒对手。使用 Tor 或 VPN 配合专用 OSINT 虚拟机。
- **图谱分析中的确认偏见**:Maltego 图谱可能产生虚假关联。在确认为可靠信息前,需独立验证每个枢纽点。
- **数据过时**:WHOIS 隐私服务和防弹托管频繁轮换。始终检查数据时间戳——6 个月前的被动 DNS 可能已不再有效。
- **归因过度自信**:基础设施重叠不能保证是同一威胁行为者。虚假旗帜行动会故意在不同组织间共享指标。
- **法律边界**:部分 OSINT 工具会执行主动扫描(端口扫描、banner 抓取)。在未获授权的情况下针对外部目标使用前,请确认工具行为。

Related Skills

testing-for-open-redirect-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

通过分析 URL 重定向参数、绕过技术和利用链,识别并测试 Web 应用程序中的开放重定向漏洞,用于网络钓鱼和 Token 窃取。

performing-threat-intelligence-sharing-with-misp

9
from killvxk/cybersecurity-skills-zh

使用 PyMISP 在 MISP 平台上创建、丰富和共享威胁情报事件,包括 IOC 管理、情报源集成、STIX 导出及社区共享工作流

performing-open-source-intelligence-gathering

9
from killvxk/cybersecurity-skills-zh

开源情报(OSINT)收集是红队演练的第一个主动阶段,操作员收集关于目标组织的公开可用信息,以识别攻击面、社会工程学目标、技术栈和凭据泄露情况。

performing-log-source-onboarding-in-siem

9
from killvxk/cybersecurity-skills-zh

在 SIEM 平台中执行结构化日志源接入,通过配置采集器、解析器、归一化和验证, 实现完整的安全可视化覆盖。

performing-authenticated-scan-with-openvas

9
from killvxk/cybersecurity-skills-zh

使用 OpenVAS/Greenbone 漏洞管理(GVM)框架配置并执行凭据认证漏洞扫描,支持 SSH 和 SMB 凭据,实现全面的主机级别安全评估。

monitoring-darkweb-sources

9
from killvxk/cybersecurity-skills-zh

监控暗网论坛、市场、粘贴站点和勒索软件泄露站点,寻找组织资产提及、泄露凭据、威胁攻击和威胁行为者通信,提供早期预警情报。当建立暗网监控覆盖、调查特定数据泄露声明,或用暗网背景丰富事件调查时使用。适用于涉及暗网 OSINT、泄露站点监控、凭据暴露、Recorded Future 暗网或 Tor 隐藏服务情报的请求。

managing-intelligence-lifecycle

9
from killvxk/cybersecurity-skills-zh

管理端到端网络威胁情报生命周期,从规划和指导,经过收集、处理、分析、传播到反馈,确保情报产品满足相关方需求并持续改进。当建立或成熟化 CTI 计划、与业务相关方定义情报需求,或在情报消费者和生产者之间建立反馈循环时使用。适用于涉及 CTI 计划成熟度、情报需求、PIR 或情报生命周期管理的请求。

implementing-threat-intelligence-platform

9
from killvxk/cybersecurity-skills-zh

构建以 MISP 为后端的威胁情报平台,从多个 Feed 摄入 IOC,通过 Galaxy 集群关联事件,并通过 VirusTotal 和 AbuseIPDB 富化指标。使用 PyMISP 创建事件、添加带 IDS 标志的属性、标记 MITRE ATT&CK 技术,并导出 STIX 2.1 Bundle 供下游 SIEM 消费。

implementing-threat-intelligence-lifecycle-management

9
from killvxk/cybersecurity-skills-zh

实现结构化威胁情报生命周期,涵盖规划、收集、处理、分析、传播和反馈阶段,为组织决策生产可操作情报。

implementing-taxii-server-with-opentaxii

9
from killvxk/cybersecurity-skills-zh

部署和配置 OpenTAXII 服务器,使用 TAXII 2.1 协议共享和消费 STIX 格式的网络威胁情报,实现组织间的自动化指标交换。

implementing-policy-as-code-with-open-policy-agent

9
from killvxk/cybersecurity-skills-zh

本技能涵盖在 Kubernetes 和 CI/CD 管道中实施 Open Policy Agent(OPA)和 Gatekeeper 进行策略即代码执行。 内容包括编写 Rego 策略、将 OPA Gatekeeper 部署为 Kubernetes 准入控制器、在开发中测试策略, 以及将策略评估集成到部署管道中。

generating-threat-intelligence-reports

9
from killvxk/cybersecurity-skills-zh

生成战略、操作和战术级别的结构化网络威胁情报报告,针对特定受众(包括高管、安全运营团队和技术分析师)量身定制。适用于从原始收集数据生成完成情报产品、创建行业威胁简报,或提供事后情报评估时。适用于涉及 CTI 报告写作、威胁简报、情报产品、完成情报或高管安全报告的请求。