rkbrainstorms/inframap
GitHub: rkbrainstorms/inframap
这是一个面向威胁情报分析师的基础设施归因引擎,整合十余种开源情报数据源自动化完成关联分析与报告生成。
Stars: 7 | Forks: 0
# inframap
[](https://github.com/rkbrainstorms/inframap/actions/workflows/ci.yml)
面向 CTI 分析师的基础设施指纹识别与归因引擎。将 15+ 个免费数据源串联至单一调查工作流中 —— 从证书透明度日志到 STIX 2.1 导出。
```
_ __
(_)_ __ / _|_ __ __ _ _ __ ___ __ _ _ __
| | '_ \| |_| '__/ _` | '_ ` _ \ / _` | '_ \
| | | | | _| | | (_| | | | | | | (_| | |_) |
|_|_| |_|_| |_| \__,_|_| |_| |_|\__,_| .__/
|_|
```
## 为什么存在
CTI 分析师在每次调查中需要在 6-10 个独立工具间来回切换。每次切换都是手工的。每个工具都会丢失上一步的上下文。撰写报告需要耗费数小时。
inframap 将所有步骤整合为一条命令,并自动生成报告。
## 真实案例
针对针对金融机构的已知 AiTM 钓鱼平台:
```
python3 inframap.py -d onmicrosoft.co --phishing --threatcheck --live --explain --report --no-color
```
```
┌─ ATTRIBUTION CONFIDENCE ──────────────────────────────────┐
│ CONFIRMED │
│ [███████████████████████████████████████████████░░░] 95/100 │
└────────────────────────────────────────────────────────────┘
certs: 207 · domains: 85 · urlscan hits: 104
FINDINGS
CONFIRMED crt.sh fast-spin: ≥5 certs in one month
CONFIRMED urlscan.io 104 scans found
CONFIRMED VirusTotal 12/94 vendors flag as malicious — verdict: MALICIOUS
CONFIRMED phishing 100/100 KIT DETECTED — 6 signals
CONFIRMED liveness-check 29/30 IOCs currently LIVE
[ATT&CK] T1566 — Phishing (Initial Access)
[ATT&CK] T1583 — Acquire Infrastructure (Resource Development)
CONFIDENCE SCORE BREAKDOWN
+25 AbuseIPDB high score
+20 Bulletproof ASN (NForce Entertainment)
+20 Certificate fast-spin
+20 VirusTotal malicious verdict
+15 urlscan.io scan history
[✓] report written to inframap_report_onmicrosoft_co.md
```
## 安装
```
git clone https://github.com/rkbrainstorms/inframap.git
cd inframap
python3 inframap.py --help
```
无依赖。纯 Python 标准库。
```
# 或通过 pip 安装
pip install git+https://github.com/rkbrainstorms/inframap.git
inframap --help
```
## 所有标志
```
# 标准调查
python3 inframap.py -d evil.com
python3 inframap.py -d evil.com --phishing --threatcheck --live --explain --report
# v1.5 新增
python3 inframap.py -d evil.com --favicon # favicon hash hunt — find same phishing kit across domains
python3 inframap.py -d evil.com --wayback # Wayback Machine — detect domain repurposing
python3 inframap.py -d evil.com --cidr # /24 CIDR pivot — find co-tenant domains
python3 inframap.py -d evil.com --mx # MX record analysis — mail infrastructure signals
python3 inframap.py -d evil.com --explain # confidence score breakdown
python3 inframap.py -d evil.com -o stix # STIX 2.1 export for SIEM/SOAR/MISP
# Campaign 分析
python3 inframap.py --campaign domain1.com domain2.com domain3.com
# 比较
python3 inframap.py --compare domain1.com domain2.com
# 主动狩猎
python3 inframap.py --hunt --keyword "outlook-verify" --days 14
# 导出格式
python3 inframap.py -d evil.com -o markdown --out-file report.md
python3 inframap.py -d evil.com -o csv --out-file iocs.csv
python3 inframap.py -d evil.com -o stix --out-file bundle.json
python3 inframap.py -d evil.com -q -o json | jq .attribution
# 密钥管理 (encrypted, chmod 600)
python3 inframap.py keys set urlscan YOUR_KEY
python3 inframap.py keys set threatfox YOUR_KEY
python3 inframap.py keys list
python3 inframap.py keys remove urlscan
```
## 数据源
### Tier 0 — 无需密钥,始终运行
| 源 | 提供内容 |
|--------|-----------------|
| crt.sh | 证书透明度日志 |
| CertSpotter | CT 回退(自动,当 crt.sh 不可用时) |
| Google CT | CT 回退 #2(自动) |
| RDAP (IANA) | 结构化 WHOIS |
| BGP.he.net | ASN、路由、托管分析 |
| HackerTarget | 被动 DNS、反向 IP |
| Mnemonic PDNS | 被动 DNS 回退 |
| Shodan InternetDB | 开放端口、CVE、标签 |
| Wayback Machine | 历史内容分析 |
| Favicon hunt | 钓鱼工具包复用检测 |
| CIDR pivot | 同租户域名发现 |
| MX analysis | 邮件基础设施信号 |
| Liveness check | 按 IOC 标记 LIVE/DEAD/UNKNOWN |
### Tier 1 — 免费账户密钥
| 源 | 限制 | 注册 |
|--------|-------|--------|
| urlscan.io | 1,000/天 | [urlscan.io/user/signup](https://urlscan.io/user/signup) |
| AbuseIPDB | 1,000/天 | [abuseipdb.com/register](https://www.abuseipdb.com/register) |
| ThreatFox | 无限制 | [auth.abuse.ch](https://auth.abuse.ch/) |
| URLhaus | 无限制 | [auth.abuse.ch](https://auth.abuse.ch/) (同一账户) |
| VirusTotal | 4/分钟 | [virustotal.com/gui/join-us](https://www.virustotal.com/gui/join-us) |
## 归因层级
| 分数 | 标签 | 含义 |
|-------|-------|---------|
| 70–100 | CONFIRMED | 多个独立来源相互印证 |
| 40–69 | ANALYST ASSESSMENT | 有记录的证据基础 |
| 1–39 | CIRCUMSTANTIAL | 模式匹配,视作线索 |
| 0 | INSUFFICIENT DATA | 检查密钥或尝试不同的种子 |
## 架构
```
inframap/
pivots/
crtsh.py CT logs + CertSpotter + Google CT fallback
rdap.py Structured WHOIS
urlscan.py urlscan.io scan history
abuseip.py AbuseIPDB IP reputation
bgphe.py BGP.he.net ASN analysis
passivedns.py HackerTarget + Mnemonic PDNS
phishdetect.py Phishing kit detection
internetdb.py Shodan InternetDB
threatmatch.py ThreatFox + URLhaus
liveness.py IOC liveness checking
favicon.py Favicon hash hunting
wayback.py Wayback Machine historical analysis
cidr.py CIDR /24 range pivot
mx.py MX record analysis
virustotal.py VirusTotal domain/IP reputation
hunt.py Proactive hunting
certfallback.py CertSpotter + Google CT
engine/
cluster.py Cert + WHOIS clustering
confidence.py Attribution scoring
compare.py Shared operator comparison
campaign.py Multi-seed campaign clustering
mitre.py MITRE ATT&CK mapping
explain.py Confidence score explanation
output/
table.py Terminal output
export.py CSV, JSON, Markdown
report.py Prose report generation
stix.py STIX 2.1 export
```
## 贡献
阅读 [CONTRIBUTING.md](CONTRIBUTING.md)。零外部依赖 —— 仅标准库。
## 法律声明
仅查询被动、公开数据源。不扫描或探测目标基础设施。所有 IOC 输出默认已经过无害化处理。
MIT License · 由 [@rkbrainstorms](https://github.com/rkbrainstorms) 构建
标签:Ask搜索, Cloudflare, DevSecOps, ESC4, MITRE ATT&CK, Object Callbacks, OSINT, SSL证书分析, STIX 2.1, ThreatFox, VirusTotal, Wayback Machine, 上游代理, 反汇编, 域名指纹, 基础设施归因, 威胁情报, 安全报告生成, 开发者工具, 网络安全, 网络钓鱼, 自动化调查, 证书透明度日志, 逆向工具, 隐私保护, 零依赖, 鱼叉式网络钓鱼