日常威胁情报分析、安全运营和事件响应插件

李白你好2026-05-09 12:03

在日常威胁情报分析(CTI)、安全运营(SOC)和事件响应(DFIR)工作中,分析师最常遇到的痛点之一就是IOC(Indicators of Compromise)查找。从威胁报告、博客、邮件或论坛中复制一个可疑IP、域名、哈希、邮箱或CVE编号,然后分别打开VirusTotal、AbuseIPDB、URLScan等十几个平台查询,切换标签页、反复粘贴,效率极低且容易出错。

ThreatCheck (由安全研究者 mthcht 开发)正是为彻底解决这个痛点而生的浏览器扩展。它让你在任意网页上选中文字 (单个IOC或整段威胁报告),即可自动提取、去混淆(defang),并一键或自动查询多达29个威胁情报平台,真正实现"无标签页切换"的高效工作流。

核心功能亮点

1. 智能提取 + 自动去混淆

支持几乎所有常见IOC类型:

  • IPv4 / IPv6
  • 域名与URL
  • 文件哈希(MD5 / SHA-1 / SHA-256)
  • 邮箱地址
  • CVE编号
  • Windows事件ID(如4624、4688)
  • 错误代码(如AADSTS50076、0x80070005)

特别强大的是自动识别并还原去混淆格式hxxps://evil[.]comhttps://evil.comadmin[at]evil[.]comadmin@evil.com。同时使用完整IANA TLD列表(1285个顶级域名)进行域名检测,大幅降低误报。

2. 批量处理与智能去重

高亮威胁报告中的整段文字,扩展会自动提取所有IOC、去重,并以 checklist 形式展示。你可以批量选择后一键复制原始格式或安全去混淆版本(便于写入报告和工单)。选择URL时还会同时拆分出完整URL和域名供分别查询。

3. 29个平台一站式覆盖

分类清晰,主要包括:

威胁情报 :VirusTotal、AbuseIPDB、AlienVault OTX、ThreatFox、MalwareBazaar、Pulsedive、Recorded Future、OpenCTI
网络情报 :IPInfo、Shodan、Censys、GreyNoise、Spamhaus、Spur、ZoomEye、TOR Archive
URL/域名 :URLScan、Wayback Machine、DNSDumpster、Validin、MXToolbox、WHOIS
代码与泄露 :GitHub Code Search、LeakCheck
漏洞与文档:NVD、MITRE CVE、Exploit-DB、Microsoft Docs

4. 可选API自动丰富(Auto-Enrichment)

大多数平台无需配置即可通过链接跳转。配置对应API Key后,弹出窗口会直接显示丰富结果,例如:

  • VirusTotal:检测率、引擎命中、ASN、创建时间、社区评论
  • AbuseIPDB:滥用置信分、报告分类、ISP、TOR状态
  • Recorded Future:风险评分、证据规则
  • OpenCTI:实体关系、威胁组织归属
  • LeakCheck:泄露密码与来源明细
  • DNSDumpster:完整DNS记录与横幅信息

所有API调用均直接从浏览器发出,无任何中间服务器。

5. 极致便捷的触发方式

  • 选中文字后自动弹出菜单
  • 右键菜单 → "Look up on ThreatCheck"
  • 键盘快捷键 Alt + T
  • 工具栏图标快速配置

6. 隐私与安全设计

  • 零数据收集:无遥测、无广告、无任何用户数据上传
  • API Key仅存储在浏览器本地扩展存储
  • 开源(MIT协议),代码可审计
  • 隐私政策明确:https://threatcheck.thunting.io/privacy

安装使用

推荐方式 (Chrome / Edge / Brave):

直接访问 Chrome Web Store 添加:

https://chromewebstore.google.com/detail/emojejfncbecodhhlcochmipfebbpkpj

开发者模式加载源码

  1. GitHub仓库:https://github.com/mthcht/threatcheck
  2. 下载或克隆仓库
  3. 打开 chrome://extensions → 开启"开发者模式" → "加载已解压的扩展程序" → 选择文件夹

安装后会自动打开欢迎页引导配置。点击扩展图标 → "Configure services & API keys" 即可按需开启自动丰富功能。

典型使用场景

  • 阅读Mandiant、CrowdStrike或任意威胁报告时,高亮一段文字 → 秒出所有IOC情报
  • 分析钓鱼邮件 → 快速查URL历史、域名WHOIS、邮箱是否泄露
  • 日常威胁狩猎 → Alt+T 即可多平台pivot,快速构建攻击链上下文
  • 事件响应中需要批量验证IOC时,效率提升数倍

总结与推荐

ThreatCheck 是一款真正懂安全分析师痛点的工具。它把原本需要十几个标签页和几十次复制粘贴的操作,浓缩成几次点击或一个快捷键,极大提升了威胁情报工作流的效率。同时坚持"隐私优先 + 开源"的理念,让人用得放心。

如果你是CTI分析师、SOC分析师、威胁猎人、DFIR从业者,或者经常需要处理威胁报告,强烈建议安装体验。

工具下载

复制代码 
https://github.com/mthcht/threatcheck

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露

相关推荐
Eastmount1 个月前
[论文阅读] (49)JNCA24 网络威胁狩猎演化技术综述
论文阅读·网络安全·sci·威胁情报·威胁狩猎
2503_946971864 个月前
【CTI/IAM】2026年度威胁情报分析与身份隔离架构基准索引 (Benchmark Index)
网络安全·系统架构·数据集·身份管理·威胁情报
Eastmount1 年前
[论文阅读] (38)基于大模型的威胁情报分析与知识图谱构建论文总结(读书笔记)
论文阅读·人工智能·大模型·知识图谱·威胁情报
网络研究院2 年前
Radware 报告 Web DDoS 攻击活动
ddos·研究·报告·网络攻击·分析·威胁情报·攻击活动
Eastmount2 年前
[当人工智能遇上安全] 11.威胁情报实体识别 (2)基于BiGRU-CRF的中文实体识别万字详解
人工智能·python·bigru·威胁情报·实体识别
ManageEngine卓豪2 年前
利用网络威胁情报增强网络安全态势
网络安全·siem·威胁情报
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03零基础教你claude code 接入 deepseek V404要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法05Dirtyfrag漏洞:我花了一下午搞清楚这个Linux内核提权漏洞到底在搞什么06CC-Switch & Claude 基于 Linux 服务器安装使用指南07【AI】2026 年具身智能模型和世界模型总结08裂开!ChatGPT 居然开始要手机号验证,附详细解决方法09Linux 核弹级高危漏洞 CVE-2026-31431 完整修复指南10Windows端Codex接入第三方模型(DeekSeek,BaiLian)