引入ThreatFox

发布日期：2021年3月8日 12:41:55 UTC

2018年，我推出了URLhaus平台，让安全研究人员和威胁分析师能够与社区共享恶意软件分发站点。一年前，即2020年3月，MalwareBazaar的发布使社区能够共享恶意软件样本，并可通过YARA规则等进行追踪。abuse.ch的目标始终是让每个人都能轻松获取威胁情报——免费且无需在平台上注册。今天，我很高兴宣布推出我的最新项目：ThreatFox！

来源：https://threatfox.abuse.ch/

什么是ThreatFox？

ThreatFox是一个社区驱动的项目，安全研究人员和威胁分析师可以在此与信息安全社区共享入侵指标（IOCs）。目前，您可以在ThreatFox上共享与恶意软件、僵尸网络命令与控制（C&C）、有效载荷或有效载荷分发相关的域名、IP地址、电子邮件地址和文件哈希。ThreatFox具有以下功能：

• 您可以向社区请求IOC，并通过积分奖励贡献者
• 每共享一个IOC可获得5积分，但单个IOC最多可从他人的请求中获得100积分
• 每个IOC都与一个恶意软件家族关联，为此ThreatFox采用Malpedia的恶意软件命名方案
• 每个IOC具有0%-100%的置信度级别
• IOC可包含外部参考（如白皮书链接或社交媒体帖子）
• IOC可能包含贡献者的评论
• IOC可以匿名共享
• 提供全面的API，用于向ThreatFox报告和检索IOC
• 此外，IOC以多种格式导出，包括MISP事件、JSON、CSV、Suricata IDS规则集等

为什么选择ThreatFox？

我热爱开源情报（OSINT）！周围有许多聪明且有才华的IT安全研究人员、威胁分析师、CERT/CSIRT/SOC员工和IT安全爱好者。其中一些人会在GitHub或Twitter等社交媒体上公开分享部分分析和入侵指标（IOCs）。虽然这很棒，但同时也令人头疼：您需要投入大量时间搜索这些IOC，更糟糕的是，自动化在许多情况下并不容易实现（甚至不可能）。

ThreatFox是一个平台，希望与社区共享其入侵指标（IOCs）的人可以在此进行共享。为此，ThreatFox提供了Web用户界面和API。同时，希望使用这些数据保护自身组织、用户或客户的安全研究人员可以轻松通过ThreatFox API进行集成。

与其他类似平台有何不同？

目前已有许多其他共享IOC的平台。不幸的是，您需要在所有平台上注册才能共享或检索IOC。这可能是ThreatFox与其他类似平台最大的区别：

ThreatFox是一个免费的社区驱动平台，用于与世界共享入侵指标！

特别感谢

• @cocaman 进行Beta测试
• @d4rksystem 进行Beta测试
• @Myrtus0x0 进行Beta测试