SiteQ8/Ghirbal

GitHub: SiteQ8/Ghirbal

一款零后端、零遥测的纯客户端 IOC 提取与分类工具,能从杂乱文本中自动筛选、去重并导出十二种安全失陷指标。

Stars: 0 | Forks: 0

# Ghirbal · غربال **一款专为 SOC、DFIR 和 CTI 分析师设计的 100% 客户端 IOC 提取与筛选工具。** *Ghirbal*(غربال)在阿拉伯语中意为**筛子** —— 粘贴原始杂乱数据(SIEM 导出文件、钓鱼邮件源码、威胁报告、勒索信、pcap 字符串),它将从中筛选出干净、已分类、去重的失陷指标。您所粘贴的内容绝不会离开您的浏览器。 🔗 **在线工具:** https://siteq8.github.io/Ghirbal/ ![Ghirbal 筛选示例事件](https://raw.githubusercontent.com/SiteQ8/Ghirbal/main/docs/screenshots/02-sifted.png) ## 为什么使用 Ghirbal 每位分析师都经历过这种痛苦的过程:手动从 40 页的供应商 PDF 中挑出 IP 和 hash,逐一去武器化,然后再为报告重新添加武器化防护。Ghirbal 通过一次粘贴即可完成整个闭环: - **感知去武器化的提取** —— `hxxps://evil[.]example[.]com`、`185.220[.]101.42`、`admin[at]corp[.]com` 都能被自动识别。 - **12 种指标类型** —— IPv4、IPv6、域名、URL、MD5 / SHA-1 / SHA-256、电子邮件、CVE ID、MITRE ATT&CK 技术 ID、Windows 注册表项以及加密货币钱包(BTC 旧版 + bech32)。 - **噪声控制** —— 私有 / 回环 / 链路本地 / CG-NAT / 多播 IP 会被自动标记,并可一键隐藏;常见的文件扩展名会被排除在域名匹配之外。 - **扩展追踪** —— 一键跳转至 VirusTotal、AbuseIPDB、Shodan、urlscan、MalwareBazaar、WHOIS、NVD 和 attack.mitre.org(第三方网站仅在*您*点击时打开)。 - **安全共享模式** —— 全局 **Defang output** 开关可使所有指标变为报告安全格式。 - **四种导出格式** —— CSV(适配 Excel)、JSON、纯 defang 列表,以及标准的 **STIX 2.1 bundle**(包含带有 STIX patterns 的指标和用于 CVE 的 `vulnerability` SDO),可直接接入您的 TIP/MISP pipeline。 - **零后端、零遥测、零依赖** —— 单个静态 HTML 文件。可在 GitHub Pages、USB 闪存盘或物理隔离的分析员工作站上运行。 ## 截图 | 空筛状态 | Defang 输出模式 | |---|---| | ![Empty state](https://raw.githubusercontent.com/SiteQ8/Ghirbal/main/docs/screenshots/01-empty.png) | ![Defang toggle active](https://raw.githubusercontent.com/SiteQ8/Ghirbal/main/docs/screenshots/03-defanged.png) | ## 使用说明 1. 打开[在线工具](https://siteq8.github.io/Ghirbal/) —— 或者克隆并在本地打开 `index.html`(完全支持离线使用)。 2. 将任意内容粘贴到左侧窗格,或点击 **Upload file**(`.txt`、`.log`、`.eml`、`.csv`、`.json` 等)。提取过程会在您输入时实时运行。 3. 使用过滤器(**Hide private IPs**、搜索框)进行筛选,跳转至扩展平台进行追踪,然后导出。 点击 **Load sample** 加载一个合成事件(模拟的钓鱼浪潮 + dropper + C2 + 勒索信),该事件涵盖了所有的提取器。 ## 隐私模型 所有解析工作均由您自己浏览器标签页中的 JavaScript 完成。运行时不包含任何分析追踪、网络调用,也没有服务器。Ghirbal 可能触发的唯一出站流量,是您显式点击的跟踪链接(用于在第三方扩展平台上打开该指标)—— 因此,请谨慎对待敏感内部指标的跟踪跳转。 ## STIX 2.1 映射 | Ghirbal 类型 | STIX 对象 | |---|---| | IPv4 / IPv6 | `indicator` — `[ipv4-addr:value = '…']` / `[ipv6-addr:value = '…']` | | 域名 / URL / 电子邮件 | `indicator` — `domain-name` / `url` / `email-addr` 模式 | | MD5 / SHA-1 / SHA-256 | `indicator` — `[file:hashes.… = '…']` | | 注册表项 | `indicator` — `[windows-registry-key:key = '…']` | | CVE | 带有 `cve` 外部引用的 `vulnerability` SDO | ## 局限性 Ghirbal 是一款基于正则表达式的筛选工具,而不是验证器:提取出的域名/IP 仅为语法匹配,非常规格式(高度混淆的指标、base64 包装的 payload)可能需要先进行解码。在实施封禁之前请务必进行验证。 ## 作者 **Ali AlEnezi** — [3li.info](https://3li.info) · [@SiteQ8](https://github.com/SiteQ8) 姊妹项目:[KWTWatch](https://github.com/SiteQ8) · [LLM-DFIR](https://siteq8.github.io/LLM-DFIR) · [NCA-ECC-Crosswalk](https://siteq8.github.io/NCA-ECC-Crosswalk/) MIT License
标签:IOC提取, STIX, 前端工具, 后端开发, 多模态安全, 威胁情报, 安全运营, 库, 应急响应, 开发者工具, 扫描框架, 数据可视化