本期话题：了解TreasureMap网络目标分析工具

斯诺登在博思艾伦咨询公司做过解决方案顾问专门推送订阅关于渗透类的解决方案其中就涉及一个名为“TreasureMap”的项目中文翻译为藏宝图，这个项目其中也配套C/S架构的分析工具。

电影截图斯诺登片段

在一份美国空军2009年公开的网络任务战略策略手册中也提到了关于该工具简单介绍。

描述为：TREASUREMAP(藏宝图) 是建立动态网络模型的国家能力启用网络空间态势感知和网络作战。这个分类系统将集成到 CyOC (网络运营)中以提供基本的网络可视化工具并促进与 JTF-GNO (全球网络作战联合特遣部队以于2010年解散合并到美国网络战司令部)和其他国家机构的整合。藏宝图分析工具并非出现过在美国空军也出现过在NSA部门，可以判断该工具使用的组织机构数量不是单独的一家，而是根据每个部门机构的任务属性和方向来进行功能定制，

对于高级别保密的渗透类解决方案讲究的是效果其中发挥的作用是至关重要，一旦泄露被对手利用可以进行防御研究和模仿。

（斯诺登泄露TreasureMap文件中的截图）

该工具配备项目地址和使用教程，项目地址存在保密网络中可能是JWICS，工具在不断完善和更新中。

在2021.6.30号NSA发布过一则招聘公告岗位为：渗透攻击分析师

此工种主要职责为协助渗透攻击队伍的工作,为渗透攻击队伍分析目标的资产等(属于渗透前期的调研).最终一并完成如下目的: 对渗透攻击小组获得的国家级信号情报出具汇总分析报告.具体的要求如下:对元数据的分析(海量数据中找到有关目标系统的信息,以期达到点一下鼠标即黑进系统的效果)查找目标资产的弱点.大网捞取特定目标的通信流量.执行藏宝图分析,将目标线上资产对应到具体的管理员(以期从管理员入手入侵目标).撰写自定义规则抽取有关目标的情报.入侵目标系统,在目标系统中搜寻有价值情报.薪水范围:– $73,076 – $91,057 (Entry/Developmental)– $84,529 – $113,362 (Full Performance)– $103,690 – $159,286 (Senior)招聘截止时间:2021年6月30日.参考链接：https://twthu.co/?p=378

（斯诺登泄露TreasureMap文件中的截图）

藏宝图分析工具集成的开源、商业、学术数据包括：

BGP数据

能够从30万知识的视野中看到互联网定义管理系统之间的IP地址空间（进入到AS商业的如何购买互联网数据源地址空间） Akamai、SOCIALSTAMP、 SEASIDEFERRY开源公共BGP、IXP（RIPE）、APNIC、ROUTEVIEWS、 CERNET。

Traceroutes数据

路由器对路由器连接到目标IP地址在网络设备(路由器)之间创建链接TM(藏宝图英文缩写)摄入约。-每天有1600万到1800万跟踪线路提供300英尺的视图，路由器到路由器的基础设施数据源ARP-CAIDA's、Archipelago Project、PACKAGEDGOODS *、SOClALSTAMP、RUSTlCBAGGAGE、USER INPUT。

Registries-关于网络块和AS所有权的信息

DNS - IP地址到域名的匹配

操作系统(OS)

（斯诺登泄露TreasureMap文件中的截图）

TM(藏宝图)支持的开源数据、商业数据、信号情报数据比较多有兴趣的可以看看泄露文件就不全部截图了、主要关注一下做渗透入侵的部门利用哪些数据其中就提到了TAO(特定入侵行动办公室)。

（斯诺登泄露TreasureMap文件中的截图）

其中有二项提到了TAO如何利用TM(藏宝图分析工具)渗透目标,第一种发现目标利用0day漏洞,第二种探测目标是不是已经被植入过特种马，通过二种方式从而进入目标网络。

藏宝图分析工具搜索数据总共写了10项

IP地址路由器DNS (FQN)MAC地址/ 802.11 BSSID / 802.11 SSIDIP前缀/范围(CIDR符号)Registry用于网段SIGAD 和/或大小写符号国家/ IP国家代码自治系统号自由文本

（斯诺登泄露TreasureMap文件中的截图）

数据搜索案例红色的节点表示有信号情报数据，上图演示搜索存在思科协议的网络设备。

TM(藏宝图分析工具)交付对象