RongIOC 一款全自动APT威胁情报拓线工具(APT Automated Tool )（使用教程+实战对比效果）...

绪论

如果各位师傅觉得有用的话，可以给我点个关注~~ 如果师傅们有什么好的建议也欢迎联系我~~ 感谢各位师傅的支持~~

正文部分

项目地址，感谢各位师傅的star ~~

https://github.com/WingBy-Fkalis/RongIOC

什么是APT拓线

可以看我的上一篇文章，APT拓线分析指南~~，这里就不进行讲解了(链接如下)

APT拓线分析指南（自研工具RongIOC实战）

安装

安装

直接下载exe即可

https://github.com/WingBy-Fkalis/RongIOC/releases/tag/Bate_v1.0

使用方法（RongIOC实战演示）

自动化和手工效果对比

这里用fofa官方的一篇拓线文章进行对比

手工拓线

文章中手工进行拓线的基本流程为：1. 获取到neger.site,semain.tech,aliit.org2. 提取到了特征，例如jarm3. 不断修改特征（最繁琐的地方）4. 得到新的ioc语法，获取到更多的可疑资产

RongIOC自动拓线

1. 查看帮助

RongIOC.exe -h

-h,--help            show this help message and exit
-e EMAIL,--email EMAIL
                     fofa账号
-k KEY,--key KEY     fofa密钥
-i IOC,--ioc IOC     基础ioc (语法+时间)(例如:(domain="neger.site"|| domain="semain.tech"|| domain="aliit.org")&& before="2024-01-04"
-f FILE,--file FILE  域名,ip的基础ioc文件列表(测试阶段,可能有bug)
-l LINE,--line LINE  想要获取的拓线数量(默认为3)
-n NUMBER,--number NUMBER
单条拓线的最大误差(最大资产量)(默认为:2500)
-t THREAD,--thread THREAD
并发线程数(默认为:3)

2. 快速进行拓线

这里根据开源情报获取到三个域名，以及发现时间，构建基础语法，也就是手工拓线的第一步

neger.site            

semain.tech            

aliit.org

-e 输入fofa的账户 

-k 输入fofa的密钥 

-i 基础IOC语法 (推荐使用 域名+发现时间的方式(如下))

RongIOC.exe -e xxx -k xxx -i "(domain=\"neger.site\" || domain=\"semain.tech\") && before=\"2024-01-04\""

3. 自动拓线获取ioc

RongIOC会自动进行特征比较，提取出相似的特征，不需要人工进行繁琐的特征寻找和对比

4. 获取拓线信息

自动构建IOC语句，并且查询其和源IOC是否为包含关系，进而确定他的准确性，同时也会把一些多余的拓线进行排除

5. 自动化成果展示

一条命令，即可获取到多条不同语法的拓线分支

RongIOC.exe -e xxx -k xxx -i "(domain=\"neger.site\" || domain=\"semain.tech\") && before=\"2024-01-04\""

构建的拓线

下面是构建出来的三条拓线

----------数量: 119-----------
base_protocol="tcp"&&(banner=" 2023 "&& banner=" GMT

Content-Type: text/html

Content-Length: 183

Connection: keep-alive"&& banner=", 23 ")&& server="nginx"

----------数量:103-----------
cert.issuer.org="Let's Encrypt"&& base_protocol="tcp"&&(banner=" 2023 "&& banner=" GMT

Content-Type: text/html

Content-Length: 183

Connection: keep-alive"&& banner=", 23 ")

----------数量:102-----------
cert.issuer.cn="R3"&& cert.issuer.org="Let's Encrypt"&& base_protocol="tcp"&&(banner=" 2023 "&& banner=" GMT

Content-Type: text/html

Content-Length: 183

Connection: keep-alive"&& banner=", 23 ")

----------{空字符串特征,可根据需求添加}------------
os=""&& icp=""&& cert.subject.org=""&& cname=""

使用这些拓线，能获取到大量的响尾蛇组织的域名和情报

RongIOC交流群

如果二维码失效可以添加作者加群

致谢

• FOFA资产拓线实战系列：响尾蛇APT组织
• FOFA资产拓线实战系列：APT-C-23 Android端

  (待实现)

• FOFA资产拓线实战系列：Ducktail犯罪组织
• 用FOFA进行一场APT Bitter追踪的实战

• 公开样本项目

• FOFA

• 微步情报中心