Trong thế giới bảo mật mạng và phân tích mạng không ngừng phát triển, các công cụ hiệu quả tổng hợp thông tin từ nhiều nguồn khác nhau là vô cùng giá trị. Một tiện ích dòng lệnh mới có tên là wtfis (một cách chơi chữ thông minh từ lệnh whois truyền thống) đã thu hút sự chú ý của các chuyên gia bảo mật và nhà phân tích nhờ khả năng thu thập thông tin toàn diện về tên miền, FQDN, hoặc địa chỉ IP bằng cách sử dụng các dịch vụ Tình báo Nguồn Mở (OSINT).
Một Công Cụ Được Xây Dựng Cho Con Người Sử Dụng
Điều làm cho wtfis khác biệt so với các tiện ích tương tự là việc tập trung vào khả năng đọc của con người. Công cụ này trình bày thông tin theo định dạng trực quan với các bảng được mã hóa màu giúp dễ dàng diễn giải dữ liệu phức tạp. Triết lý thiết kế này phù hợp với các nhà phân tích trung tâm điều hành bảo mật (SOC) cần đánh giá nhanh các mối đe dọa tiềm ẩn.
Tôi thực sự ngạc nhiên là không ai xây dựng cái này trước đây, đây chính xác là những gì các nhà phân tích SOC cần.
Giao diện của công cụ này sắp xếp kết quả thành các bảng sạch sẽ, dễ đọc, trình bày thông tin từ nhiều nguồn cùng một lúc, loại bỏ nhu cầu phải truy vấn thủ công các dịch vụ khác nhau và tổng hợp kết quả.
Nguồn Dữ Liệu Toàn Diện
wtfis tích hợp dữ liệu từ một số dịch vụ an ninh và tình báo uy tín. Về cơ bản, công cụ này sử dụng VirusTotal để truy xuất thông tin chính, nhưng nó cũng có thể lấy dữ liệu từ P2Whois, IPWhois, Shodan, Greynoise, URLhaus và AbuseIPDB. Sự tổng hợp các nguồn tài nguyên này cung cấp cho người dùng cái nhìn toàn diện về thực thể họ đang điều tra, bao gồm điểm đánh giá uy tín, phân giải IP, dữ liệu vị trí địa lý, cổng mở và các cờ báo hoạt động độc hại tiềm ẩn.
Đối với các chuyên gia bảo mật thường xuyên cần điều tra các tên miền hoặc IP đáng ngờ, phương pháp đa nguồn này tiết kiệm thời gian đáng kể so với việc kiểm tra thủ công từng dịch vụ riêng lẻ.
Các Nguồn Dữ Liệu Được Sử Dụng bởi wtfis:
| Dịch vụ | Sử dụng trong tra cứu | Bắt buộc | Gói miễn phí |
|---|---|---|---|
| Virustotal | Tất cả | Có | Có |
| P2Whois | Tên miền/FQDN | Không | Có |
| IPWhois | Địa chỉ IP | Không | Có (qua đăng ký) |
| Shodan | Địa chỉ IP | Không | Không |
| Greynoise | Địa chỉ IP | Không | Có (qua đăng ký) |
| URLhaus | Tất cả | Không | Có |
| AbuseIPDB | Địa chỉ IP | Không | Có |
Tính năng chính:
- Kết quả dễ đọc với các bảng được mã hóa màu
- Giảm thiểu các cuộc gọi API để tránh đạt giới hạn tần suất
- Các liên kết có thể nhấp trong terminal (khi được hỗ trợ)
- Kết quả đầu ra có thể tùy chỉnh với nhiều cờ lệnh khác nhau
- Hỗ trợ Docker cho việc sử dụng trong container
Cân Nhắc về Quyền Riêng Tư và API
Một số thành viên cộng đồng đã nêu lên những lo ngại về tác động quyền riêng tư của công cụ này, lưu ý rằng nó yêu cầu khóa API cho các dịch vụ khác nhau, với khóa API VirusTotal là bắt buộc. Mặc dù yêu cầu này vốn có trong chức năng của công cụ, người dùng trong cuộc thảo luận đã chỉ ra rằng việc lấy các khóa này không nhất thiết yêu cầu thông tin cá nhân rộng rãi.
Công cụ được thiết kế với hiệu quả sử dụng API, thực hiện càng ít cuộc gọi càng tốt để giảm thiểu việc đạt đến hạn ngạch và giới hạn tốc độ cho tài khoản miễn phí. Cân nhắc này làm cho wtfis trở nên thiết thực cho việc sử dụng thường xuyên mà không cần đăng ký trả phí cho các dịch vụ cơ bản.
Thiết Lập và Tùy Chỉnh
Để bắt đầu với wtfis, bạn cần cài đặt công cụ (có sẵn thông qua các trình quản lý gói như brew và conda) và cấu hình các khóa API cần thiết thông qua biến môi trường hoặc tệp cấu hình. Mặc dù một số người dùng lưu ý rằng quá trình thiết lập này có thể hơi tẻ nhạt do số lượng khóa API tiềm năng cần thiết, họ thừa nhận đó là một điều cần thiết xét đến chức năng của công cụ.
Công cụ cung cấp một số tùy chọn tùy chỉnh, bao gồm khả năng đặt đối số mặc định thông qua biến môi trường, kiểm soát số lượng phân giải IP được hiển thị và chuyển đổi việc sử dụng các nguồn dữ liệu cụ thể. Tính linh hoạt này cho phép người dùng điều chỉnh đầu ra theo nhu cầu cụ thể và khóa API có sẵn của họ.
Trong một ngành công nghiệp mà hiệu quả và thu thập thông tin toàn diện là rất quan trọng, wtfis dường như đáp ứng một nhu cầu chưa được giải quyết trước đây bằng cách kết hợp nhiều nguồn OSINT thành một giao diện thân thiện với người dùng. Như một thành viên cộng đồng đã đề xuất một cách phù hợp, nếu bạn đang tìm kiếm một từ viết tắt không phản cảm, có lẽ What's That Funny Internet Site? (Đó là trang web hài hước gì vậy?) sẽ phù hợp.
Tham khảo: wtfis