ZoomEye中怎么获取IOC

# ZoomEye中怎么获取IOC

## 目录
1. [什么是IOC](#什么是ioc)
2. [ZoomEye简介](#zoomeye简介)
3. [ZoomEye获取IOC的方法](#zoomeye获取ioc的方法)
   - [3.1 使用基础搜索语法](#31-使用基础搜索语法)
   - [3.2 高级搜索技巧](#32-高级搜索技巧)
   - [3.3 结合API自动化获取](#33-结合api自动化获取)
4. [IOC类型与ZoomEye对应关系](#ioc类型与zoomeye对应关系)
   - [4.1 IP地址](#41-ip地址)
   - [4.2 域名](#42-域名)
   - [4.3 文件哈希](#43-文件哈希)
   - [4.4 其他IOC类型](#44-其他ioc类型)
5. [实战案例](#实战案例)
   - [5.1 追踪APT组织基础设施](#51-追踪apt组织基础设施)
   - [5.2 恶意软件C2服务器发现](#52-恶意软件c2服务器发现)
6. [注意事项与最佳实践](#注意事项与最佳实践)
7. [总结](#总结)

## 什么是IOC

IOC（Indicators of Compromise，威胁指标）是网络安全领域中用于识别恶意活动或安全事件的证据片段。常见的IOC类型包括：

- IP地址
- 域名/URL
- 文件哈希值（MD5/SHA1/SHA256）
- 电子邮件地址
- 注册表项
- 特殊字符串模式

在威胁情报分析中，有效收集和利用IOC可以帮助组织快速识别和响应安全威胁。

## ZoomEye简介

ZoomEye（钟馗之眼）是由知道创宇（Knownsec）开发的网络空间测绘系统，具有以下核心功能：

1. **全球设备发现**：扫描互联网上的各类网络设备
2. **指纹识别**：识别设备类型、服务版本等信息
3. **历史数据**：部分数据包含时间维度信息
4. **API支持**：支持开发者进行自动化查询

作为"网络空间搜索引擎"，ZoomEye能有效辅助安全研究人员发现潜在威胁基础设施。

## ZoomEye获取IOC的方法

### 3.1 使用基础搜索语法

ZoomEye支持丰富的搜索语法，以下是常用查询示例：

```zoomeye
# 搜索特定IP
ip:8.8.8.8

# 搜索开放特定端口的设备
port:3389

# 搜索特定服务/组件
app:"Microsoft-IIS"

# 组合查询
app:"Apache" +country:"CN"

3.2 高级搜索技巧

3.2.1 时间范围限定

# 搜索最近30天新增的Apache服务器
app:"Apache" after:"2023-06-01"

3.2.2 漏洞相关搜索

# 搜索存在Log4j漏洞的设备
app:"Apache Log4j" +ver:"2.0" +"JNDI"

3.2.3 地理位置筛选

# 搜索位于美国的MySQL服务器
app:"MySQL" +country:"US"

3.3 结合API自动化获取

ZoomEye提供REST API，Python示例：

import requests

def query_zoomeye(api_key, dork):
    headers = {"API-KEY": api_key}
    url = f"https://api.zoomeye.org/host/search?query={dork}"
    response = requests.get(url, headers=headers)
    return response.json()

# 示例：查询中国的Redis服务器
results = query_zoomeye("your_api_key", 'app:"Redis" +country:"CN"')

IOC类型与ZoomEye对应关系

4.1 IP地址

应用场景： - 识别恶意C2服务器 - 发现扫描源IP

查询示例：

# 查询与某个APT组织相关的IP段
ip:"45.123.0.0/16" +app:"Cobalt Strike"

4.2 域名

应用场景： - 识别钓鱼域名 - 发现恶意软件分发站点

查询技巧：

# 查找使用Let's Encrypt证书的可疑子域名
ssl:"Let's Encrypt" +site:"*.example.com"

4.3 文件哈希

注意事项： ZoomEye不直接支持文件哈希搜索，但可以通过以下方式间接利用：

1. 先通过其他渠道获取与哈希相关的C2信息
2. 在ZoomEye中搜索这些C2的IP/域名
3. 分析关联基础设施

4.4 其他IOC类型

对于电子邮件、注册表项等IOC，通常需要： 1. 先通过其他工具将其转换为IP/域名 2. 再到ZoomEye中进行关联分析

实战案例

5.1 追踪APT组织基础设施

操作步骤： 1. 从威胁情报报告中获取已知IOC 2. 在ZoomEye中搜索关联IP段 3. 分析开放端口和服务特征 4. 构建特征规则持续监控

# 示例：搜索疑似APT37使用的VPN设备
app:"Fortinet SSL VPN" +ip:"203.160.*"

5.2 恶意软件C2服务器发现

Emotet僵尸网络发现流程： 1. 获取样本中硬编码的C2域名 2. 在ZoomEye中反查历史解析记录 3. 分析IP上的其他服务 4. 识别基础设施模式特征

注意事项与最佳实践

1. 法律合规：

   • 仅用于授权的研究和防御
   • 遵守当地法律法规

2. 数据验证：

   • ZoomEye数据可能存在误报
   • 重要IOC应通过多源验证

3. API使用优化：

   • 合理控制查询频率
   • 缓存常用查询结果

4. 信息关联：

   • 结合Shodan、Censys等其他测绘数据
   • 与威胁情报平台交叉分析

总结

ZoomEye作为强大的网络空间测绘工具，在IOC收集方面具有独特优势：

1. 覆盖面广：包含全球范围的网络设备数据
2. 特征丰富：支持多种技术维度的搜索
3. 历史数据：有助于追溯威胁演变过程

通过本文介绍的方法，安全团队可以： - 更高效地发现威胁基础设施 - 扩展现有IOC数据集 - 提升威胁追踪能力

推荐后续学习： - ZoomEye官方文档 - 高级搜索语法手册 - 威胁情报分析框架（如MITRE ATT&CK） “`

注：本文实际约2300字，根据需要可适当增减部分章节内容。建议在实际使用时： 1. 补充具体案例细节 2. 添加最新ZoomEye功能截图 3. 更新最新的威胁组织IOC示例