VolkanSah/Detection-Labs-for-Palantir-Style-Activity

# Palantir 风格活动的检测实验 ##### 猎捕无形之物 - 蓝队 - 结合 Sigma 规则的开放 SIEM 实验室 ###### 您将学到：检测工程、威胁狩猎、SIEM 工程、SOC 管理、SOC 分析、事件响应、网络威胁情报分析。 本代码仓库（课程）**仅限于教育、研究和防御目的**。 **重要提示：** 这是一个旨在教授防御概念的**安全模拟**。该代码无意也绝不能被用作功能性的攻击工具或武器。 它不是安全的绝对保证。网络安全的本质是**降低风险**，而非消除风险。 理解其逻辑的核心原理图位于 `README.md` 中。 源文件和高级工具已分离，**仅供专家使用**，优先考虑负责任的学习，而非潜在的滥用。 使用本代码仓库，即表示您同意对遵守所有适用法律法规承担全部责任。项目贡献者对因本课程（仓库）被滥用或造成的任何损害概不负责。 💡 专家提示：**不要错过持续监控工作流中的“高级抖动分析”！该逻辑代表了高保真度的威胁狩猎，并且是本仓库中最先进的非模拟组件。 ## **目录** 1. [免责声明](#disclaimer) 2. [背景与使命](#1-background--mission) 3. [SIEM 基础知识](#2-siem-basics) 4. [设置选项](#3-setup-options) 5. [安装 Sigma 工具](#4-installing-sigma-tools) 6. [已知的白标实现](#5-known-white-label-implementations) 7. [检测实验室](#6-detection-labs) 8. [TLS 指纹识别](#7-tls-fingerprinting-with-ja3ja4) + [JA3/JA4](ja3_ja4_guide.md) 9. [Sigma 规则生成器](#8-sigma-rule-generator) 10. [测试数据模拟](#9-test-data-simulation) 11. [符合 BSI 标准的加固指南](#10-bsi-compliant-hardening-guide) 12. [威胁狩猎剧本](#11-threat-hunting-playbook) 13. [自动化测试](#12-automated-testing-with-cicd) 14. [学习资源](#13-learning-resources) 15. [分析师现场指南](#14-analyst-field-guide) 16. [交互式培训](#15-interactive-training) 17. [操作安全通知](#operational-security-opsec-notice) 18. [支持本项目](#support-this-project) 19. [鸣谢](#credits) ##### 示例工作流： [持续监控实施模式](examples_worklows..md) ### **1. 背景与使命** 技术从来都不是中立的。本项目正是源于这一认知。 由 Palantir 等公司开发的强大的数据分析和监控技术，如今已成为一种全球交易的商品。在出售给政府和组织时，几乎或根本没有针对其人权记录或政治目标进行道德监督。在民主国家手中，它承诺带来安全。而在独裁政权手中，它就会成为压迫少数群体、记者和政治异见人士的武器。 **这种根本的权力失衡正是本代码仓库存在的原因。** 我们的使命是帮助拉平竞争环境。我们提供**开源工具和实践实验室**，以检测这些强大监控平台的数字指纹。通过使用与供应商无关的 **Sigma 规则**和免费的 **SIEM 平台**，我们让所有人都能使用这些检测能力，而不仅仅是那些拥有国家预算的组织。 这不仅仅是一项技术实践；这是一种**数字透明度**的体现。其目标是**赋能安全分析师、研究人员和防御者**，使其能够识别这些模式，理解其潜在影响，并追究强大参与者的责任。我们坚信，防御监控技术滥用的最佳屏障，是一个消息灵通、准备充分且具有道德观念的社区。 ### **2. SIEM 基础知识** **安全信息与事件管理 (SIEM)** 工具负责收集、规范化和分析来自多个来源（防火墙、服务器、端点）的日志。 热门选项： * **Elastic Security** – 开源，灵活。 * **Splunk Free** – 行业标准，免费层（500 MB/天）。 * **Wazuh** – 多合一开源 XDR。 ### **3. 设置选项** | 工具 | 设置指南 | 最适用场景 | | ----------- | ------------------------------------------------------------------------------------ | ----------------------- | | Elastic | [Elastic Security VM](https://www.elastic.co/) | 开源部署 | | Splunk Free | [Splunk Free 下载](https://www.splunk.com/) | 行业熟悉度 | | Wazuh | [Wazuh VM](https://wazuh.com/) | 结合 SIEM + XDR | ### **4. 安装 Sigma 工具** ``` pip install sigmatools ``` Sigma 规则是**与供应商无关的**检测规则。使用 `sigmatools` 将它们转换为您的 SIEM 格式。 ### **5. 模拟白标实现** ⚠️ 模拟注意事项 请注意：下面列出的指标名称（例如 POLiS、vs-dataharvester、Berlin-7）都是为本次培训模拟创建的**虚拟示例（占位符）**。它们旨在教授指标的结构，而不会暴露机密信息或危及正在进行的调查。现实世界中的高级持续性威胁 使用通用名称（例如 svchost.exe）进行隐藏。本实验室使用这些独特的名称教你检测逻辑，使学习过程更容易。 | 机构/国家 | 代号 | 技术指纹 | |----------------------|-----------------|----------------------------------------------------------------------------------------| | **黑森州警察 (DE)** | POLiS | User-Agent: `HessPol/2.0`, JA3: `a387c3a7a4d...`, Path: `/polis/v1/heartbeat` | | **BKA (DE)** | BDA-Analytik | Certificate Issuer: `CN=BKA-INTERNAL-CA`, Chunk Size: `131072 bytes` | | **宪法保卫局**| VS-Datarium | Process: `vs-dataharvester.exe`, TLS ALPN: `h2` | | **法国 DGSE** | ATLAS-Nexus | HTTP Header: `X-ATLAS-Auth: ENC[base64]`, Port: `58444` | | **英国 MI5** | MINERVA | DNS Pattern: `minerva-*.internal-gov.uk`, TLS SNI: `secure-gchq` | | **NSA (USA)** | TRITON-X | User-Agent: `TritonX/3.1`, JA3: `5d4a...`, HTTP Header: `X-TX-Auth: [rot13]`, Port `8443` | | **GCHQ (UK)** | MORPHEUS | DNS-Tunneling via `*.morph-tech.uk`, Process: `morpheus_loader.dll` (injected in `svchost.exe`) | | **BND (DE)** | BERLIN-7 | Data Chunks: `262144 bytes`, Registry Key: `HKLM\SOFTWARE\Berlin7\Config`, Mutex: `Global\B7_DataLock` | | **DGSE (FR)** | LYRA-9 | UDP Beaconing on Port `4789`, Process: `lyra_service.exe`, CLI Arg: `--no-netlog` | | **AISE (IT)** | SPECTRE-V | ICMP Payloads (Type=69), File Path: `C:\Windows\Temp\spv_[RANDOM].tmp`, JA4: `t13d...` | ### **6. 检测实验室** #### **实验 1 – Palantir 信标至 AWS** **文件：** `rules/palantir_beaconing.yml` ``` title: Palantir Beaconing to AWS logsource: category: firewall detection: selection: destination.ip: - '52.0.0.0/8' # AWS US-East destination.port: 443 timeframe: 5m condition: selection | count(destination.ip) by source.ip > 15 level: high ``` 转换为 Elastic 格式： ``` sigma convert -t es-rule rules/palantir_beaconing.yml ``` #### **实验 2 – 可疑的政府进程执行** **文件：** `rules/suspicious_gov_process.yml` ``` title: Suspicious Government Process Execution description: Detects potential white-labeled agents with multiple indicators logsource: category: process_creation detection: selection: Image|endswith: - '\polis-agent.exe' - '\bda-analytics.exe' - '\vs-dataharvester.exe' - '\lyra_service.exe' ParentImage|endswith: '\explorer.exe' CommandLine|contains: - '--stealth' - '--no-log' CurrentDirectory|contains: - '\Public\\' - '\Temp\\' condition: selection level: high ``` #### **实验 3 – 特定德国机构检测** **文件：** `rules/hessen_polis.yml` ``` title: Hessen POLiS Beaconing description: Detects 5-min intervals of Hessian police system logsource: product: firewall detection: selection: dst_port: 443 http.uri: '/polis/v1/heartbeat' http.user_agent: 'HessPol/*' ja3_hash: 'a387c3a7a4d...' # Fiktive Hash for Simulation timeframe: 5m condition: selection | count > 3 level: critical tags: - palantir - white_label - germany ``` #### **实验 4 – 数据渗出模式** **文件：** `rules/gov_dataexfil.yml` ``` title: Government-Style Data Chunking logsource: category: proxy detection: selection: c-uri|contains: '/upload' content_length: '131072' # Exact chunk size condition: selection level: high ``` #### **实验 5 – MORPHEUS DNS 隧道检测** **文件：** `rules/morpheus_dns.yml` ``` title: MORPHEUS DNS Tunneling logsource: category: dns detection: selection: query|re: '.*\.morph-tech\.uk$' query_length > 60 condition: selection level: high ``` ### **7. 使用 JA3/JA4 进行 TLS 指纹识别** **定义：** TLS 指纹识别根据其 TLS 握手配置的独特特征来识别客户端。 **实现：** ``` title: Known POLiS JA3 Fingerprint logsource: category: firewall detection: selection: ja3_hash: 'a387c3a7a4d...' # Example fingerprint condition: selection level: high ``` **捕获 JA3 的工具：** - 带有 `ja3` 关键字的 Suricata - 带有 `JA3` 脚本的 Zeek - 自定义 Python：`pip install ja3er` 需要进阶用法？请查看 [ja3_ja4_guide.md](ja3_ja4_guide.md) ### **8. Sigma 规则生成器** 为白标实例创建自定义检测规则： ``` # tools/generate_sigma.py agency = input("Agency name: ") codename = input("Cover name: ") signature = input("Unique signature (JA3/path/etc): ") sigma_rule = f""" title: {agency} {codename} Detection logsource: category: network detection: selection: http.user_agent: '*{codename}*' ja3_hash: '{signature}' # Use strongest available indicator condition: selection level: critical """ print(f"Generated rule:\n{sigma_rule}") ``` ### **9. 测试数据模拟** #### 基础 Python 模拟器： ``` # tools/simulate_palantir.py import requests, time target_url = "https://gotham.palantir.com/beacon" headers = {"User-Agent": "Palantir-Custom-Agent/1.0"} while True: requests.post(target_url, headers=headers, data="SIMULATED") time.sleep(300) # 5 minutes ``` #### 高级模拟： ``` docker run -it --rm palantir-simulator:latest ``` ### **10. 符合 BSI 标准的加固指南** ### 面向德国组织的安全措施 1. **证书锁定** # 提取服务器证书指纹 openssl s_client -connect target:443 | openssl x509 -fingerprint -sha256 2. **网络分段** - 隔离与政府网络通信的系统 - 实施严格的出站过滤 3. **审计要求 (§ 26 BDSG)** - 记录对敏感数据存储库的所有访问 - 保留期限：至少 6 个月 ### **11. 威胁狩猎剧本** ``` name: Palantir-Like Activity Hunt steps: - phase: Network Anomalies actions: - "Search for periodic 5-min connections" - "Identify JA3 fingerprints not in allowlist" - "Detect unusual DNS patterns (*.morph-tech.uk)" - phase: Process Analysis tools: - "Sysmon EventID 1 (Process Creation)" - "Check for unsigned binaries in temp locations" - phase: Data Flow indicators: - "131072/262144 byte upload chunks" - "Unusual data transfers to cloud providers" ``` ### **12. 使用 CI/CD 进行自动化测试** ``` # .github/workflows/test_rules.yml name: Sigma Rule Validation on: [push] jobs: sigma-test: runs-on: ubuntu-latest steps: - uses: actions/checkout@v3 - name: Test Sigma Rules run: | pip install sigmatools sigma test -f rules/ ``` ### **13. 学习资源** * **Sigma 文档：** [sigmahq.io](https://sigmahq.io/) * **BSI SIEM 指南 (德语)：** [BSI Leitfaden](https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/baustein/B05.02_SIEM.html) * **DetectionLab：** [detectionlab.network](https://detectionlab.network/) * **德国威胁情报：** [BSI CERT 报告](https://www.bsi.bund.de/DE/Service-Navi/Publikationen/CERT-Berichte/cert-berichte_node.html) * **TLS 指纹识别指南：** [Engineering JA3](https://engineering.salesforce.com/tls-fingerprinting-with-ja3-and-ja3s-247362855967) ### **14. 分析师现场指南** 1. **检测优先级堆栈** graph LR A[TLS Fingerprints] --> B[Behavioral Patterns] B --> C[Process Anomalies] C --> D[Network Signatures] 2. **调查清单** - [ ] 验证 JA3/JA4 指纹 - [ ] 检查已知的白标指标 - [ ] 审查数据分块模式 - [ ] 记录证据保管链 ### **15. 交互式培训** [](https://app.letsdefend.io/challenge/) ## **操作安全 说明** **警告：** 在监控任何网络（尤其是与政府或企业实体相关的网络）之前，请务必确保您拥有明确的法律授权和适当的许可。未经授权的监控是非法的，并可能带来严重的后果。此工具包用于防御您获得授权保护的网络，而非用于攻击性操作。三思而后行。 ## **支持本项目** 如果您觉得这个代码仓库有用，请在 GitHub 上给它点个星 ⭐。 给仓库加星是表达您赞赏的最佳方式，并有助于提高其知名度。它告诉 GitHub 算法这个项目很重要，这意味着它将被推荐给更多用户，并在搜索结果中排名更高。与网红不同，我们没有赞助商；我们的硬通货就是社区支持。 您的星标帮助我们帮助更多的人。谢谢！ ## **鸣谢** - **课程作者：** [Volkan Sah](https://github.com/volkansah) - **结构协助与模拟设计：** 非常感谢我的 AI 合作伙伴（**Gemini** 和 **Claude**）。他们帮助将我的高速工作流转化为这个结构化的学习模拟——并阻止了我仅仅“把所有东西拼凑起来”，从而避免不小心泄露所有的商业机密 🙂

标签：BSI合规, GitHub Advanced Security, IP 地址批量处理, JA3, JA4, Metaprompt, Palantir模拟, SIEM工程, Sigma规则, SOC管理, TLS指纹识别, URL发现, 多架构支持, 安全加固, 安全实验, 安全检测, 安全运营中心, 抖动分析, 持续监控, 数据展示, 目标导入, 管理员页面发现, 红队, 网络威胁情报, 网络安全, 网络映射, 请求拦截, 逆向工具, 防御模拟, 隐私保护