K3lgy/lyra
GitHub: K3lgy/lyra
Lyra 是一款开源防御性 CTI 监控工具,自动从十个 OSINT 来源检测组织相关的凭证泄露、基础设施暴露和公开提及,并生成带严重性评分的优先报告。
Stars: 0 | Forks: 0
# 🔍 Lyra — CTI 监控工具
Lyra 是一款开源的防御性监控工具,旨在帮助安全团队在开放网络和 OSINT 来源中检测与其组织相关的公开提及、凭证泄露和基础设施暴露情况。
## ⚠️ 法律声明
本工具**专用于防御和合法用途**:
- ✅ 监控**您自己的组织**
- ✅ 供 SOC、RSSI 团队及授权的 CTI 顾问使用
- ✅ 仅查询**公开来源和合法的 API**
- ❌ 严禁在未经书面授权的情况下用于第三方目标
- ❌ 不下载或访问被盗数据
未经授权在系统或组织上使用此工具可能构成刑事犯罪(法国《刑法典》第 323-1 条及后续条款、美国《计算机欺诈和滥用法》等)。
## ✨ 功能
- **实时 Dashboard** — 实时跟踪分析进度
- 自动分析 **10 个 OSINT 来源**
- **智能去重** — 合并相同结果
- 自动**严重性评分**(严重 / 高 / 中 / 低)
- 结构化的 **JSON 导出**,包含发现的时间线
- **零外部依赖** — 仅使用 Python 标准库 + `requests`
- 带有优先建议的**最终报告**
## 📡 分析来源
| 来源 | 数据类型 | 需要的 API |
|--------|----------------|-------------|
| [Have I Been Pwned](https://haveibeenpwned.com) | 已知泄露事件中的凭证 | 付费(约 4$/月) |
| [DeHashed](https://dehashed.com) | 泄露的凭证 | 付费(约 5$/月) |
| [VirusTotal](https://virustotal.com) | 域名和 URL 信誉 | 免费(受限) |
| [URLScan.io](https://urlscan.io) | 可疑域名扫描 | 免费 |
| [Shodan](https://shodan.io) | 暴露的基础设施、开放端口 | 付费(49$/年) |
| [GitHub](https://github.com) | 公开代码中的 secret 和 token | 无需密钥(受限) |
| Paste 站点 | Pastebin 上的提及(通过 DuckDuckGo) | 无需密钥 |
| Google Dorks OSINT | 已索引的机密文档 | 无需密钥 |
| [Ransomware.live](https://ransomware.live) | 公开的勒索软件声明 | 无需密钥(公开 API) |
| [crt.sh](https://crt.sh) | 通过 Certificate Transparency 获取的子域名 | 无需密钥 |
## 🚀 安装说明
### 前置条件
- Python 3.8+
- 无外部依赖(仅限标准库)
### 克隆仓库
```
git clone https://github.com/votre-compte/lyra-cti.git
cd lyra-cti
```
### (可选)虚拟环境
```
python3 -m venv .venv
source .venv/bin/activate # Linux/macOS
.venv\Scripts\activate # Windows
```
## ⚙️ 配置
复制示例文件并填写您的信息:
```
cp config.json config_monentreprise.json
```
编辑 `config_monentreprise.json`:
```
{
"company": {
"name": "Acme Corp",
"domains": ["acme.com", "acme.fr"],
"brands": ["Acme", "AcmePro"],
"subsidiaries": ["Acme Digital", "Acme Labs"],
"products": ["AcmeCloud", "AcmePay"],
"emails": ["contact@acme.com", "security@acme.com"],
"keywords": ["ACMECORP", "acmecorporation"]
},
"api_keys": {
"hibp": "VOTRE_CLE_HIBP",
"virustotal": "VOTRE_CLE_VIRUSTOTAL",
"shodan": "VOTRE_CLE_SHODAN",
"urlscan": "VOTRE_CLE_URLSCAN",
"dehashed": "VOTRE_CLE_DEHASHED",
"dehashed_email": "votre@email.com"
},
"options": {
"timeout": 15,
"max_results_per_source": 20,
"output_dir": "./lyra_output"
}
}
```
### 获取 API 密钥
| 服务 | 链接 | 费用 |
|---------|------|-------|
| Have I Been Pwned | https://haveibeenpwned.com/API/Key | ~4$/月 |
| VirusTotal | https://www.virustotal.com(免费注册) | 免费 |
| Shodan | https://account.shodan.io/register | 49$/年 |
| URLScan.io | https://urlscan.io(免费注册) | 免费 |
| DeHashed | https://dehashed.com | 5$/月 |
## 🖥️ 使用方法
### 基础启动
```
python3 lyra.py --config config_monentreprise.json
```
### 使用自定义导出
```
python3 lyra.py --config config_monentreprise.json --output ./rapports/rapport_acme.json
```
### 帮助
```
python3 lyra.py --help
```
## 📊 输出示例
```
╔══════════════════════════════════════════════════════════════════╗
║ LYRA — CTI Monitor v1.0 ║
║ Cyber Threat Intelligence & Digital Risk Protection ║
╚══════════════════════════════════════════════════════════════════╝
Cible : Acme Corp
Domaines : acme.com, acme.fr
Mots-clés : 12 termes indexés
Début : 2026-06-18 10:00:00 UTC
[10:02:14] ▶ CREDENTIAL LEAK (confiance: Élevé)
Source : Have I Been Pwned
Titre : Domaine acme.com trouvé dans 3 breach(es) HIBP
URL : https://haveibeenpwned.com/DomainSearch/acme.com
Résumé : 3 brèche(s) impliquant le domaine acme.com...
[00:04:31] Sources: 8/10 [████████████░░░░░░░░] Résultats: 5 Risque: ÉLEVÉ
```
### 导出的 JSON 报告
```
{
"metadata": {
"tool": "Lyra CTI v1.0",
"target": "Acme Corp",
"global_risk": "ÉLEVÉ"
},
"summary": {
"total_findings": 5,
"sources_analyzed": 10,
"by_criticality": {
"CRITIQUE": 0, "ÉLEVÉ": 2, "MOYEN": 2, "FAIBLE": 1
}
},
"findings": [ ... ],
"timeline": [ ... ]
}
```
## 📁 项目结构
```
lyra-cti/
├── lyra.py # Script principal
├── config.json # Template de configuration
├── README.md # Documentation
├── lyra_output/ # Répertoire de sortie (créé automatiquement)
│ └── lyra_report.json
└── lyra_debug.log # Logs techniques
```
## 🔒 安全最佳实践
- **切勿提交**包含真实 API 密钥的 `config.json`
- 将 `config_*.json` 添加到您的 `.gitignore` 中
- 在生产环境中使用环境变量或凭据保管库
- 推荐的 `.gitignore` 示例:
```
config_*.json
lyra_output/
lyra_debug.log
.env
*.key
```
## 🗺️ 路线图
- [ ] 支持 SOCKS5 / Tor 代理(可选)
- [ ] 集成 Slack/Teams 进行实时告警
- [ ] 导出 PDF 报告
- [ ] 计划任务模式(cron)并对新发现进行差异化对比
- [ ] 支持 Elasticsearch 以对结果进行索引
- [ ] 轻量级 Web 界面
## 📄 许可证
MIT License — 查看 [LICENSE](LICENSE)
## 👤 作者
为 **SOC / CTI / RSSI** 团队开发,用于防御性监控。
*Lyra 并不能替代专业的 CTI 平台(如 Recorded Future、Sekoia.io、Mandiant 等),但对于希望自动化其 OSINT 监控的团队来说,它是一个开源的起点。*
标签:Homebrew安装, Python, 凭据泄露监控, 基础设施暴露检测, 威胁情报, 实时处理, 开发者工具, 无后门, 逆向工具, 防御性安全