toolsmith #130 - 使用Buscador进行OSINT调查
首先,新年快乐!希望您拥有高效成功的2018年。作为开年之作,我将再次探讨开源情报(OSINT)技术。除微软信息安全主管的本职工作外,我还荣幸担任华盛顿国民警卫队J-2情报部门成员,结合J-6网络作战职能,OSINT在识别对手指标和红队评估目标方面具有重要价值。
Buscador是由OSINT专家Michael Bazzell和David Wescott开发的Linux虚拟机预配置平台,集成了我们曾讨论过的Recon-ng、Spiderfoot等工具。1.1版本包含以下核心工具集:
- 地理定位工具:Creepy(支持Twitter/Flickr等插件)
- 元数据分析:Metagoofil/ExifTool/pyExifToolGui
- 域名枚举:Knock/SubBrute
- 社交媒体挖掘:Tinfoleak/Instalooter
- 网页镜像:HTTrack/Wayback Exporter
实战测试
-
Creepy定位分析
配置Twitter插件搜索"holisticinfosec",虽未获取精确坐标,但成功关联西雅图地区信息(图1-2)。对于开启地理标记的目标,该工具可绘制活动热力图。 -
Tinfoleak深度报告
生成包含时间线、设备类型、话题标签的完整Twitter活动分析报告(图3),比原生API提供更丰富的元数据。 -
Metagoofil文档情报
对目标域扫描50份公开文档,输出作者/公司/修改记录等元数据(图6),堪称红队侦察必备工具,其效率超越传统Foca工具。
技术亮点
- 虚拟化支持:提供OVA镜像和ISO两种部署方式,通过QEMU转换后可在Hyper-V快速部署
- 工作流集成:所有工具通过左侧菜单栏统一调用,支持Instalooter采集图片→ExifTool解析→BleachBit清理的完整链条
- 即将更新:1.2版本将重构Firefox适配并新增特性,开发者透露正在筹备新作
重要提示:虽然OSINT工具威力强大,但务必遵守道德准则。公开文档中的元数据可能暴露敏感信息,建议发布前进行清理。
该平台将分散的OSINT工具整合为标准化工作环境,极大提升了网络侦察效率。对于需要持续进行威胁情报分析的专业人员,Buscador堪称"一站式解决方案"。期待1.2版本带来更多创新功能。