ZoomEye中怎么获取IOC

# ZoomEye中怎么获取IOC ## 目录 1. [什么是IOC](#什么是ioc) 2. [ZoomEye简介](#zoomeye简介) 3. [ZoomEye获取IOC的方法](#zoomeye获取ioc的方法) - [3.1 使用基础搜索语法](#31-使用基础搜索语法) - [3.2 高级搜索技巧](#32-高级搜索技巧) - [3.3 结合API自动化获取](#33-结合api自动化获取) 4. [IOC类型与ZoomEye对应关系](#ioc类型与zoomeye对应关系) - [4.1 IP地址](#41-ip地址) - [4.2 域名](#42-域名) - [4.3 文件哈希](#43-文件哈希) - [4.4 其他IOC类型](#44-其他ioc类型) 5. [实战案例](#实战案例) - [5.1 追踪APT组织基础设施](#51-追踪apt组织基础设施) - [5.2 恶意软件C2服务器发现](#52-恶意软件c2服务器发现) 6. [注意事项与最佳实践](#注意事项与最佳实践) 7. [总结](#总结) ## 什么是IOC IOC（Indicators of Compromise，威胁指标）是网络安全领域中用于识别恶意活动或安全事件的证据片段。常见的IOC类型包括： - IP地址 - 域名/URL - 文件哈希值（MD5/SHA1/SHA256） - 电子邮件地址 - 注册表项 - 特殊字符串模式 在威胁情报分析中，有效收集和利用IOC可以帮助组织快速识别和响应安全威胁。 ## ZoomEye简介 ZoomEye（钟馗之眼）是由知道创宇（Knownsec）开发的网络空间测绘系统，具有以下核心功能： 1. **全球设备发现**：扫描互联网上的各类网络设备 2. **指纹识别**：识别设备类型、服务版本等信息 3. **历史数据**：部分数据包含时间维度信息 4. **API支持**：支持开发者进行自动化查询 作为"网络空间搜索引擎"，ZoomEye能有效辅助安全研究人员发现潜在威胁基础设施。 ## ZoomEye获取IOC的方法 ### 3.1 使用基础搜索语法 ZoomEye支持丰富的搜索语法，以下是常用查询示例： ```zoomeye # 搜索特定IP ip:8.8.8.8 # 搜索开放特定端口的设备 port:3389 # 搜索特定服务/组件 app:"Microsoft-IIS" # 组合查询 app:"Apache" +country:"CN" 

3.2 高级搜索技巧

3.2.1 时间范围限定

# 搜索最近30天新增的Apache服务器 app:"Apache" after:"2023-06-01" 

3.2.2 漏洞相关搜索

# 搜索存在Log4j漏洞的设备 app:"Apache Log4j" +ver:"2.0" +"JNDI" 

3.2.3 地理位置筛选

# 搜索位于美国的MySQL服务器 app:"MySQL" +country:"US" 

3.3 结合API自动化获取

ZoomEye提供REST API，Python示例：

import requests def query_zoomeye(api_key, dork): headers = {"API-KEY": api_key} url = f"https://api.zoomeye.org/host/search?query={dork}" response = requests.get(url, headers=headers) return response.json() # 示例：查询中国的Redis服务器 results = query_zoomeye("your_api_key", 'app:"Redis" +country:"CN"') 

IOC类型与ZoomEye对应关系

4.1 IP地址

应用场景： - 识别恶意C2服务器 - 发现扫描源IP

查询示例：

# 查询与某个APT组织相关的IP段 ip:"45.123.0.0/16" +app:"Cobalt Strike" 

4.2 域名

应用场景： - 识别钓鱼域名 - 发现恶意软件分发站点

查询技巧：

# 查找使用Let's Encrypt证书的可疑子域名 ssl:"Let's Encrypt" +site:"*.example.com" 

4.3 文件哈希

注意事项： ZoomEye不直接支持文件哈希搜索，但可以通过以下方式间接利用：

1. 先通过其他渠道获取与哈希相关的C2信息
2. 在ZoomEye中搜索这些C2的IP/域名
3. 分析关联基础设施

4.4 其他IOC类型

对于电子邮件、注册表项等IOC，通常需要： 1. 先通过其他工具将其转换为IP/域名 2. 再到ZoomEye中进行关联分析

实战案例

5.1 追踪APT组织基础设施

操作步骤： 1. 从威胁情报报告中获取已知IOC 2. 在ZoomEye中搜索关联IP段 3. 分析开放端口和服务特征 4. 构建特征规则持续监控

# 示例：搜索疑似APT37使用的VPN设备 app:"Fortinet SSL VPN" +ip:"203.160.*" 

5.2 恶意软件C2服务器发现

Emotet僵尸网络发现流程： 1. 获取样本中硬编码的C2域名 2. 在ZoomEye中反查历史解析记录 3. 分析IP上的其他服务 4. 识别基础设施模式特征

注意事项与最佳实践

1. 法律合规：

   • 仅用于授权的研究和防御
   • 遵守当地法律法规

2. 数据验证：

   • ZoomEye数据可能存在误报
   • 重要IOC应通过多源验证

3. API使用优化：

   • 合理控制查询频率
   • 缓存常用查询结果

4. 信息关联：

   • 结合Shodan、Censys等其他测绘数据
   • 与威胁情报平台交叉分析

总结

ZoomEye作为强大的网络空间测绘工具，在IOC收集方面具有独特优势：

1. 覆盖面广：包含全球范围的网络设备数据
2. 特征丰富：支持多种技术维度的搜索
3. 历史数据：有助于追溯威胁演变过程

通过本文介绍的方法，安全团队可以： - 更高效地发现威胁基础设施 - 扩展现有IOC数据集 - 提升威胁追踪能力

推荐后续学习： - ZoomEye官方文档 - 高级搜索语法手册 - 威胁情报分析框架（如MITRE ATT&CK） “`

注：本文实际约2300字，根据需要可适当增减部分章节内容。建议在实际使用时： 1. 补充具体案例细节 2. 添加最新ZoomEye功能截图 3. 更新最新的威胁组织IOC示例