RongIOC

网络空间测绘APT自动化拓线工具
(Cyberspace Mapping APT Automated Line Extension Tool )

浏览文档 »

中文 | English

团队官网 · 反馈 Bug · 请求新功能 · 联系作者

目录

1. 注意事项
2. 关于本项目
   • 构建工具
3. 开始
   • 依赖
   • 安装
4. 使用方法
5. TODO
6. 贡献
7. 许可证
8. 联系作者
9. 交流群
10. 致谢

注意事项

• 本项目会调用大量的FOFA接口,可能会导致当日访问次数超过的情况,不建议开启F点消耗使用！！
• 本项目将持续更新，目前TODO中还有很多没有更新，并不能满足全部的APT拓线情况
• 本项目完全免费，仅作为学习使用，请不要进行非法破坏
• 本项目为RongIOC的公开版本

关于本项目

• 一款用于APT威胁情报收集(APT网络资产拓线构建)的自动化工具
• Rong系列工具之一(RongScan,RongFofa,RongHack等工具暂不开源,团队内部使用,有需要联系作者审核)
• 项目地址: https://github.com/WingBy-Fkalis/RongIOC
• 项目所属团队: WingBY网络安全团队
• 第一作者: Fkalis

在遇到各种APT攻击的时候，我们不仅需要进行防御当前的攻击，也需要基于当前的样本,指纹,等信息去构建更多的指纹，也就是所说的拓线，在进行了大量开源IOC的尝试其基本流程是固定的 尝试将其进行自动化，减少工作量，提升效率

基本流程参考下图（在给某公司进行APT培训的时候的课件）

(返回顶部)

构建工具

直接使用打包好的exe即可

(返回顶部)

开始

这是一份在本地构建项目的指导的例子。 要获取本地副本并且配置运行，你可以按照下面的示例步骤操作。

依赖

• exe

  直接使用打包好的exe即可

安装

下面是一个指导你的受众如何安装和配置你的应用的例子。这个模板不需要任何外部依赖或服务。

1. 克隆本仓库

   git clone https://github.com/WingBy-Fkalis/RongIOC.git

2. 来到RongIOC目录

   cd RongIOC

3. 运行RongIOC.exe

   RongIOC.exe -h

(返回顶部)

使用方法

1. 查看帮助

RongIOC.exe -h

-h, --help            show this help message and exit
-e EMAIL, --email EMAIL
                     fofa账号
-k KEY, --key KEY     fofa密钥
-i IOC, --ioc IOC     基础ioc (语法+时间) (例如:(domain="neger.site" || domain="semain.tech" || domain="aliit.org") && before="2024-01-04"
-f FILE, --file FILE  域名,ip的基础ioc文件列表 (测试阶段,可能有bug)
-l LINE, --line LINE  想要获取的拓线数量 (默认为3)
-n NUMBER, --number NUMBER
                     单条拓线的最大误差(最大资产量) (默认为:2500)
-t THREAD, --thread THREAD
                     并发线程数 (默认为:3)

2. 快速进行拓线

-e 输入fofa的账户 -k 输入fofa的密钥 -i 基础IOC语法 (推荐使用 域名+发现时间的方式(如下))

RongIOC.exe -e xxx -k xxx -i "(domain=\"neger.site\" || domain=\"semain.tech\") && before=\"2024-01-04\""

3. 自动拓线获取ioc

4. 获取拓线信息

5. 自动化成果展示

RongIOC.exe -e xxx -k xxx -i "(domain=\"neger.site\" || domain=\"semain.tech\") && before=\"2024-01-04\""

构建的拓线

----------数量: 119-----------
base_protocol="tcp" && (banner=" 2023 " && banner=" GMT

Content-Type: text/html

Content-Length: 183

Connection: keep-alive" && banner=", 23 ") && server="nginx"
----------数量: 103-----------
cert.issuer.org="Let's Encrypt" && base_protocol="tcp" && (banner=" 2023 " && banner=" GMT

Content-Type: text/html

Content-Length: 183

Connection: keep-alive" && banner=", 23 ")
----------数量: 102-----------
cert.issuer.cn="R3" && cert.issuer.org="Let's Encrypt" && base_protocol="tcp" && (banner=" 2023 " && banner=" GMT

Content-Type: text/html

Content-Length: 183

Connection: keep-alive" && banner=", 23 ")
----------{空字符串特征,可根据需求添加}------------
os="" && icp="" && cert.subject.org="" && cname=""

转到 文档 查看更多示例

(返回顶部)

TODO

• 支持FOFA网络空间测绘
• 优化过滤筛选,提高速度
• 使用并发协程,提高速度
• 支持空字段指纹
• 配置文件设置
• 进一步确认可疑目标
  • 使用微步,qax等平台进行确认
  • 自动进行基础IOC路径扫描
  • body相似度比较
  • 大模型验证
• 支持非空字段指纹
• 支持或条件(例如:攻击目标经常在多个org中进行，即org:xxx || org:xxx)
• 优化返回结果
• 自动生成拓线报告
• 支持大量的指纹方式:
  • ip
  • port
  • header
  • cert
  • asn
  • os
  • server
  • jarm
  • banner
  • body,ico (由于没有FOFA商业版,无法查询到其信息,暂时无法兼容,如果有机会有账户的话,会进行添加)
  • body_hash
  • header_hash
  • js
  • js_md5
  • ....
• 更多的网络空间测绘引擎
  • FOFA
  • QUAKE
  • HUNTER
  • ZOOMEYE
  • ....
• .......

到 open issues 页查看所有请求的功能 （以及已知的问题）。

(返回顶部)

贡献

一个人的思路终归是有限的，如果有你有什么好的建议，好的思路，欢迎在issue提出，不一定是代码上的帮助，你所做出的任何贡献都是受人尊敬的。 您将获得内部版本的使用权限，开源贡献者的致谢....感谢您对本项目的支持！！

如果你有好的建议，请复刻（fork）本仓库并且创建一个拉取请求（pull request）。你也可以简单地创建一个议题（issue），并且添加标签「enhancement」。不要忘记给项目点一个 star！再次感谢！

1. 复刻（Fork）本项目
2. 创建你的 Feature 分支 (git checkout -b feature/AmazingFeature)
3. 提交你的变更 (git commit -m 'Add some AmazingFeature')
4. 推送到该分支 (git push origin feature/AmazingFeature)
5. 创建一个拉取请求（Pull Request）

开源贡献者列表

(返回顶部)

许可证

根据 MIT 许可证分发。打开 LICENSE.txt 查看更多内容。

(返回顶部)

联系作者

公众号：fkalis

微信号: WingBy_fkalis（备注来意）

所属团队：WingBy网络安全团队 (https://www.wingby.cn/)

(返回顶部)

项目交流群

如果二维码失效可以添加作者加群

致谢

在这里列出你觉得有用的资源，并以此致谢。我已经添加了一些我喜欢的资源，以便你可以快速开始！

• FOFA资产拓线实战系列：响尾蛇APT组织
• FOFA资产拓线实战系列：APT-C-23 Android端(待实现)
• FOFA资产拓线实战系列：Ducktail犯罪组织
• 用FOFA进行一场APT Bitter追踪的实战
• 公开样本项目
• FOFA
• 微步情报中心

(返回顶部)