Vignesh942/C2-Trawler-Automated-Threat-Intelligence-Collection-Analysis-and-STIX-2.1-Intelligence-Pipeline
GitHub: Vignesh942/C2-Trawler-Automated-Threat-Intelligence-Collection-Analysis-and-STIX-2.1-Intelligence-Pipeline
一个自动化的网络威胁情报管道,能够跨多源收集、规范化 IOC 并生成符合 STIX 2.1 标准的结构化威胁情报和分析报告。
Stars: 0 | Forks: 0
# C2-Trawler
## 自动化威胁情报收集、分析与 STIX 2.1 情报管道
C2-Trawler 是一个基于 Python 的网络威胁情报 (CTI) 管道,可自动从多个开源威胁情报源收集、处理、丰富并报告恶意基础设施指标。
该项目汇总了来自 ThreatFox、URLHaus 和 OpenPhish 的威胁数据,规范了妥协指标 (IOC),将恶意软件活动映射到 MITRE ATT&CK 技术,生成 STIX 2.1 威胁情报包,并生成对分析师友好的情报报告。
C2-Trawler 无需手动查看多个情报源中的数千个威胁指标,而是将原始威胁数据转化为可供 SOC 分析师、威胁猎手和安全研究人员直接使用的可操作情报。
## 主要功能
### 多源威胁情报收集
从以下来源收集威胁指标:
* ThreatFox
* URLHaus
* OpenPhish
支持的 IOC 类型:
* IPv4 地址
* 域名
* URL
### IOC 规范化与去重
* 将来自多个情报源的数据规范化为通用 schema
* 移除重复指标
* 保留来源归属
* 统一 IOC 格式
### 恶意软件分析
识别并对如下恶意软件家族进行分类:
* Mozi
* Mirai
* Remcos
* AsyncRAT
* Lumma
* AgentTesla
* FormBook
* Vidar
* Sliver
* Cobalt Strike
生成以下统计信息:
* 观测次数最多的恶意软件家族
* 威胁类别
* IOC 分布
### MITRE ATT&CK 映射
将恶意软件家族映射到 ATT&CK 技术,包括:
* T1071 – 应用层协议 (Application Layer Protocol)
* T1105 – 进入工具传输 (Ingress Tool Transfer)
* T1056 – 输入捕获 (Input Capture)
* T1566 – 网络钓鱼
* T1204 – 用户执行
* T1573 – 加密通道
为威胁狩猎和检测工程提供上下文情报。
### STIX 2.1 情报生成
生成结构化的 STIX 2.1 情报包,包含:
* 指标对象
* 恶意软件对象
* 攻击模式对象
* 关系对象
关系示例:
指标 → 恶意软件 → ATT&CK 技术
生成的情报包可导入至:
* OpenCTI
* MISP
* Wazuh
* 其他兼容 STIX/TAXII 的平台
### 威胁情报报告
自动生成:
* 执行摘要
* 威胁类别分析
* 恶意软件家族排名
* IOC 统计数据
* ATT&CK 分析
* 威胁评估
* 建议措施
输出内容包含:
* TXT 报告
* JSON 报告
* CSV 导出
* STIX 2.1 情报包
## 架构
## 示例输出
### 收集统计信息
* 指标总数:23,000+
* 聚合多个威胁情报源
* 自动化 IOC 处理
* ATT&CK 技术映射
* 生成 STIX 情报包
### 热门恶意软件家族
* Mozi
* Mirai
* Remcos
* AsyncRAT
* Lumma
### 威胁类别
* 恶意软件下载
* 僵尸网络命令与控制 (Command & Control)
* 网络钓鱼
* Payload 投递
## 项目结构
```
c2-trawler/
├── collectors/
├── normalizer/
├── enrichment/
├── mitre/
├── stix_generator/
├── reporting/
├── exports/
├── reports/
├── data/
├── logs/
├── utils/
├── main.py
├── requirements.txt
└── README.md
```
## 安装说明
克隆代码库:
```
git clone https://github.com/yourusername/c2-trawler.git
cd c2-trawler
```
安装依赖:
```
pip install -r requirements.txt
```
## 使用说明
运行完整的情报收集周期:
```
python main.py
```
搜索 IP:
```
python main.py search-ip 1.2.3.4
```
搜索域名:
```
python main.py search-domain example.com
```
搜索恶意软件家族:
```
python main.py search-malware Remcos
```
## 生成的产物
### 报告
```
reports/threat_report.txt
reports/threat_report.json
```
### IOC 导出
```
exports/iocs.json
exports/iocs.csv
```
### STIX 情报
```
exports/stix_bundle.json
```
## 展示技能
* 威胁情报运营
* 网络威胁情报 (CTI)
* IOC 收集与分析
* MITRE ATT&CK 框架
* STIX 2.1 情报建模
* 威胁报告
* 安全自动化
* Python 开发
* 数据处理与规范化
* 威胁情报源集成
## 未来改进
* 历史趋势分析
* 每日恶意软件活动追踪
* 威胁情报源调度
* TAXII 支持
* IOC 信誉评分
* OpenCTI 集成
* 威胁活动关联
* 检测规则生成
## 自动化威胁情报收集、分析与 STIX 2.1 情报管道
C2-Trawler 是一个基于 Python 的网络威胁情报 (CTI) 管道,可自动从多个开源威胁情报源收集、处理、丰富并报告恶意基础设施指标。
该项目汇总了来自 ThreatFox、URLHaus 和 OpenPhish 的威胁数据,规范了妥协指标 (IOC),将恶意软件活动映射到 MITRE ATT&CK 技术,生成 STIX 2.1 威胁情报包,并生成对分析师友好的情报报告。
C2-Trawler 无需手动查看多个情报源中的数千个威胁指标,而是将原始威胁数据转化为可供 SOC 分析师、威胁猎手和安全研究人员直接使用的可操作情报。
## 主要功能
### 多源威胁情报收集
从以下来源收集威胁指标:
* ThreatFox
* URLHaus
* OpenPhish
支持的 IOC 类型:
* IPv4 地址
* 域名
* URL
### IOC 规范化与去重
* 将来自多个情报源的数据规范化为通用 schema
* 移除重复指标
* 保留来源归属
* 统一 IOC 格式
### 恶意软件分析
识别并对如下恶意软件家族进行分类:
* Mozi
* Mirai
* Remcos
* AsyncRAT
* Lumma
* AgentTesla
* FormBook
* Vidar
* Sliver
* Cobalt Strike
生成以下统计信息:
* 观测次数最多的恶意软件家族
* 威胁类别
* IOC 分布
### MITRE ATT&CK 映射
将恶意软件家族映射到 ATT&CK 技术,包括:
* T1071 – 应用层协议 (Application Layer Protocol)
* T1105 – 进入工具传输 (Ingress Tool Transfer)
* T1056 – 输入捕获 (Input Capture)
* T1566 – 网络钓鱼
* T1204 – 用户执行
* T1573 – 加密通道
为威胁狩猎和检测工程提供上下文情报。
### STIX 2.1 情报生成
生成结构化的 STIX 2.1 情报包,包含:
* 指标对象
* 恶意软件对象
* 攻击模式对象
* 关系对象
关系示例:
指标 → 恶意软件 → ATT&CK 技术
生成的情报包可导入至:
* OpenCTI
* MISP
* Wazuh
* 其他兼容 STIX/TAXII 的平台
### 威胁情报报告
自动生成:
* 执行摘要
* 威胁类别分析
* 恶意软件家族排名
* IOC 统计数据
* ATT&CK 分析
* 威胁评估
* 建议措施
输出内容包含:
* TXT 报告
* JSON 报告
* CSV 导出
* STIX 2.1 情报包
## 架构
## 示例输出
### 收集统计信息
* 指标总数:23,000+
* 聚合多个威胁情报源
* 自动化 IOC 处理
* ATT&CK 技术映射
* 生成 STIX 情报包
### 热门恶意软件家族
* Mozi
* Mirai
* Remcos
* AsyncRAT
* Lumma
### 威胁类别
* 恶意软件下载
* 僵尸网络命令与控制 (Command & Control)
* 网络钓鱼
* Payload 投递
## 项目结构
```
c2-trawler/
├── collectors/
├── normalizer/
├── enrichment/
├── mitre/
├── stix_generator/
├── reporting/
├── exports/
├── reports/
├── data/
├── logs/
├── utils/
├── main.py
├── requirements.txt
└── README.md
```
## 安装说明
克隆代码库:
```
git clone https://github.com/yourusername/c2-trawler.git
cd c2-trawler
```
安装依赖:
```
pip install -r requirements.txt
```
## 使用说明
运行完整的情报收集周期:
```
python main.py
```
搜索 IP:
```
python main.py search-ip 1.2.3.4
```
搜索域名:
```
python main.py search-domain example.com
```
搜索恶意软件家族:
```
python main.py search-malware Remcos
```
## 生成的产物
### 报告
```
reports/threat_report.txt
reports/threat_report.json
```
### IOC 导出
```
exports/iocs.json
exports/iocs.csv
```
### STIX 情报
```
exports/stix_bundle.json
```
## 展示技能
* 威胁情报运营
* 网络威胁情报 (CTI)
* IOC 收集与分析
* MITRE ATT&CK 框架
* STIX 2.1 情报建模
* 威胁报告
* 安全自动化
* Python 开发
* 数据处理与规范化
* 威胁情报源集成
## 未来改进
* 历史趋势分析
* 每日恶意软件活动追踪
* 威胁情报源调度
* TAXII 支持
* IOC 信誉评分
* OpenCTI 集成
* 威胁活动关联
* 检测规则生成标签:IOC分析, IP 地址批量处理, Python, STIX, 威胁情报, 开发者工具, 搜索语句(dork), 无后门, 网络信息收集, 自动化情报流, 逆向工具