0x-Ethan/threat-intel-toolkit
GitHub: 0x-Ethan/threat-intel-toolkit
一个基于 Rust 的被动式威胁情报与 OSINT 研究工具包,提供攻击面枚举、证书透明度分析和 MITRE ATT&CK 框架映射功能,专为安全研究与数字取证场景设计。
Stars: 0 | Forks: 0
# threat-intel-toolkit
[](LICENSE)
[](https://www.rust-lang.org/)
[](https://github.com/[USERNAME]/threat-intel-toolkit/actions)
[](https://github.com/[USERNAME]/threat-intel-toolkit/stargazers)
[](https://github.com/[USERNAME]/threat-intel-toolkit/issues)
[](CONTRIBUTING.md)
[](https://buymeacoffee.com/[BUYMEACOFFEE_USERNAME])
## 概述
`threat-intel-toolkit` 是一个开源的 Rust 工具集合,用于结构化的威胁情报工作流:
- **攻击面枚举**,与 OWASP Amass 方法论保持一致
- **被动 DNS 与证书透明度**分析
- 基于开源图像指标的**地理位置模式匹配**
- 映射到 MITRE ATT&CK 技术的**对手分析**
- **尊重隐私的 OSINT** —— 不进行主动扫描,不进行未经授权的访问
该工具包专为需要快速、可审计、内存安全工具的**安全研究员**、**威胁情报分析师**和**DFIR 从业者**而构建。
## 快速开始
**环境要求:** Rust 1.78+ · Git · Linux / macOS
```
# Clone
git clone https://github.com/[USERNAME]/threat-intel-toolkit.git
cd threat-intel-toolkit
# Build
cargo build --release
# 运行 passive DNS lookup
./target/release/tit dns --target example.com
# 运行 certificate transparency search
./target/release/tit ct --target example.com --output json
```
## 模块
| 模块 | 描述 | 状态 |
|--------|-------------|--------|
| `dns` | 通过证书透明度和公共解析器进行被动 DNS 枚举 | ✅ 稳定 |
| `ct` | 证书透明度日志搜索 (crt.sh, Google CT) | ✅ 稳定 |
| `geo` | 基于图像元数据的开源地理位置指标分析 | 🔄 开发中 |
| `atk` | 用于观察到的 TTP 的 MITRE ATT&CK 技术映射器 | 🔄 开发中 |
| `priv` | 针对 GDPR/CCPA/HIPAA 范围的隐私数据暴露评估 | 📋 计划中 |
## 核心设计原则
**内存安全优先。** 所有模块均使用 Rust 编写。没有未经明确文档说明的 unsafe 块。
**仅限被动方式。** 此工具包不执行主动扫描。每个数据源都是公共的、被动的或经过明确授权的。
**审计追踪。** 所有操作都会生成结构化的 JSON 输出,适用于 DFIR 保管链文档记录。
**框架对齐。** 调查结果可映射到 MITRE ATT&CK、NIST CSF v2.0 以及相关的隐私框架 (GDPR, UK GDPR, CCPA)。
## 使用场景
- **威胁情报:** 在参与项目之前映射攻击面
- **DFIR:** 从被动指标重构对手的基础设施
- **隐私工程:** 为 GDPR/CCPA 合规审计评估公开数据暴露情况
- **漏洞研究:** 枚举子域名和证书历史记录,以确定负责任的披露范围
## 输出格式
```
{
"target": "example.com",
"timestamp": "2026-07-09T00:00:00Z",
"module": "ct",
"findings": [
{
"subdomain": "staging.example.com",
"issuer": "Let's Encrypt",
"not_before": "2025-12-01",
"not_after": "2026-03-01",
"source": "crt.sh"
}
],
"mitre_techniques": ["T1590.001"],
"framework_refs": ["NIST CSF DE.CM-1"]
}
```
## 路线图
- [ ] `geo` 模块:基于开源图像数据集的地标和路标模式识别
- [ ] `priv` 模块:支持 DPIA 的数据暴露报告生成器
- [ ] MITRE ATT&CK Navigator 集成 (JSON 层导出)
- [ ] OWASP Amass 数据源插件接口 (Rust FFI)
- [ ] 结构化的 DFIR 报告输出 (适配 PDF 的 Markdown)
## 研究笔记
`/research-notes` 目录包含已发布的分析、方法论笔记和负责任的披露文档。
参见:[`research-notes/`](research-notes/)
## 更新日志
查看 [CHANGELOG.md](CHANGELOG.md) 以获取版本历史和发布说明。
## 许可证
MIT 许可证 —— 详情请参阅 [LICENSE](LICENSE)。
**重要提示:** 本工具包仅供授权的安全研究和防御使用。未经授权对您不拥有或未获得明确测试许可的系统进行使用是非法且不道德的。请参阅 [DISCLAIMER.md](DISCLAIMER.md)。
## 关于
由 **[Amritesh]** 维护 —— 专注于威胁情报、DFIR 和数据保护的网络安全研究员。
[](https://linkedin.com/in/[USERNAME])
[](https://[DOMAIN])标签:可视化界面, 通知系统