amaqsood90/KQL-Codex

## 为什么选择 KQL-Codex 已有很多 KQL 仓库。这个仓库在以下几个方面有所不同： - **以战役为驱动** — 检测是基于真实的活跃威胁构建的，而非通用模式 - **生产就绪** — 每个查询都包含调优指导、验证步骤和告警规则设置，让您可以放心部署 - **基于行为** — 检测关注攻击者行为，而非每天都在变化的脆弱 IOC - **完整杀伤链** — 战役包涵盖从初始访问到数据窃取的全过程，不仅仅是单一阶段 - **Microsoft 原生** — 完全基于 Microsoft 安全表构建，因此在 Sentinel 和 Defender XDR 中开箱即用 ## 战役检测包 专为追踪现实世界中活跃攻击活动而构建的检测集，通常在漏洞利用被发现后的数天内完成构建。

### React2Shell-2025 **CVE-2025-55182 | 正在被利用** React Server Components 中的预认证 RCE。攻击者通过滥用 Node 和 Bun 进程部署了加密货币矿工、Cobalt Strike 信标以及 Secret-Hunter 凭证窃取工具包。 **4 个检测项**，涵盖 HTTP 头利用、进程行为、C2 通信以及临时目录中的 Payload 投递。 `T1190` `T1059.003` `T1105` `T1071.001` `T1567.002` [查看战役](Hunting-Queries-Detection-Rules/Campaigns/React2Shell-2025/)	### Shai-Hulud-2025 **npm 供应链 | Postinstall 滥用** 恶意 npm 包滥用 postinstall 钩子调用密钥扫描器（TruffleHog、Gitleaks），将凭证窃取到 GitHub 和 Webhook 端点，并在 Windows、Linux 和 macOS 上建立持久化。 **11 个检测项**，涵盖完整的杀伤链，包括用于受损包名称的 Sentinel Watchlist 集成。 `T1195.002` `T1552` `T1543.002` `T1547.009` `T1568` [查看战役](Hunting-Queries-Detection-Rules/Campaigns/Shai-Hulud-2025/)
### SharePoint-2025 **CVE-2025-53770 | ToolShell** 被中国 APT 组织（包括 Linen Typhoon (APT27) 和 Violet Typhoon (APT31)）利用的 SharePoint 零日漏洞链，目标直指全球政府和医疗部门。 **1 个检测项**，针对针对易受攻击的 ToolPane.aspx 端点的利用请求模式。 `T1190` [查看战役](Hunting-Queries-Detection-Rules/Campaigns/SharePoint-2025/)	### White-Lock-2025 **勒索软件 | 2025 年 10 月** 由 CYFIRMA 识别的新观察到的勒索病毒株。使用 `.fbin` 扩展名加密文件，并在受损端点上投递 `c0ntact.txt` 勒索信。 **1 个检测项**，涵盖文件加密 IOC 和勒索信创建行为。 `T1486` [查看战役](Hunting-Queries-Detection-Rules/Campaigns/White-Lock-2025/)
### Tycoon2FA-2026 **AiTM PhaaS | Storm-1747 | 已于 2026 年 3 月被瓦解** Tycoon2FA 实现了大规模的中间人攻击 —— 拦截会话 Cookie 以绕过 MFA，每月影响超过 500,000 个组织。由 Storm-1747 运营，于 2026 年 3 月 4 日被 Microsoft DCU 和 Europol 瓦解。 **4 个检测项**，涵盖 AiTM 风险登录、URL 点击到登录的关联、失陷后的收件箱规则以及新的 MFA 设备注册。 `T1557` `T1078` `T1566.002` `T1137.005` `T1098.005` [查看战役](Hunting-Queries-Detection-Rules/Campaigns/Tycoon2FA-2026/)	### Neusploit-2026 **CVE-2026-21509 | APT28 间谍活动** 与俄罗斯有关的 APT28 在披露后 72 小时内武器化了一个 Microsoft Office 安全功能绕过漏洞，利用 MiniDoor 和 PixyNetLoader 恶意软件针对中欧和东欧的政府及军事组织。 **4 个检测项**，涵盖 Office 利用行为、Outlook VBA 注册表篡改、COM 劫持持久化以及通过 filen.io 云存储的 Covenant Grunt C2。 `T1203` `T1059.003` `T1137` `T1112` `T1546.015` `T1071.001` `T1102` [查看战役](Hunting-Queries-Detection-Rules/Campaigns/Neusploit-2026/)

## 🗂️ 仓库结构

📁 AzureAD/  ·  登录、暴力破解、MFA 滥用、不可能的旅行

📂 Campaigns/  ·  活跃威胁战役检测包

    • React2Shell-2025 — CVE-2025-55182 · Node RCE · T1190 T1059

    • Shai-Hulud-2025 — npm 供应链滥用 · T1195.002 T1552

    • SharePoint-2025 — CVE-2025-53770 · ToolShell · T1190

    • White-Lock-2025 — White Lock 勒索软件 · T1486

    • Tycoon2FA-2026 — AiTM PhaaS · Storm-1747 · T1557 T1566.002

    • Neusploit-2026 — APT28 · CVE-2026-21509 · T1203 T1546.015 T1102

📂 Cloud-Activity/  ·  Azure 资源滥用、自动化、密钥保管库

    📁 GitHub/  ·  GitHub 审计日志蠕虫和后门搜寻

📁 Defender-For-Endpoint/  ·  进程、文件、网络和持久化检测

📁 Defender-For-Identity/AD/  ·  Kerberos 攻击、DCSync、AD 枚举

📁 Defender-For-Office365/  ·  网络钓鱼、BEC、AiTM、恶意附件

📁 Network-Logs/  ·  DNS 隧道、代理滥用、CVE 利用

📁 Sentinel/  ·  UEBA 异常、事件枢纽、关联分析

📁 ThreatIntel-Integrations/  ·  Watchlist 和 IOC 驱动的搜寻

## MITRE ATT&CK 覆盖范围 | 战术 | 覆盖的技术 | |---|---| | Initial Access (初始访问) | T1078, T1190, T1195.002, T1566.002 | | Execution (执行) | T1059.001, T1059.003, T1203 | | Persistence (持久化) | T1098.005, T1112, T1137, T1137.005, T1543.002, T1546.015, T1547.009, T1547.015 | | Privilege Escalation (权限提升) | T1548.003 | | Defense Evasion (防御规避) | T1036, T1070.004 | | Credential Access (凭证访问) | T1110, T1552 | | Discovery (发现) | T1082 | | Lateral Movement (横向移动) | T1021 | | Collection (收集) | T1557 | | Command and Control (命令与控制) | T1071.001, T1102, T1567.002, T1105 | | Exfiltration (数据窃取) | T1005, T1568 | | Impact (影响) | T1486 | ## 查询标准 此仓库中的每个查询都遵循一致的文档标准，因此您始终知道您正在部署什么。 ``` // Title: [Query name] // Product: [Sentinel | MDE | MDI | MDO | Azure] // Query Type: [Threat Hunting | Detection Rule] // ATT&CK: [Technique ID] ([Technique Name]) // Data Sources: [Tables used] // Description: [What this detects and why it matters] // Author: Ahsan M. // // Tuning: [How to reduce false positives for your environment] // Validation: [How to confirm the query works before deploying] // // Recommended Alert Rule Settings: // - Schedule: [e.g. every 15 minutes] // - Lookup window: [e.g. 1 hour] // - Threshold: [e.g. >0 results] // - Severity: [Low | Medium | High | Critical] // - Entity mappings: [Account, Host, IP, etc.] ``` ## 快速开始 ``` git clone https://github.com/amaqsood90/KQL-Codex.git cd KQL-Codex ``` 1. 导航到与您的数据源或用例匹配的文件夹 2. 打开任何 `.kql` 文件 — 每个查询都有完整的自文档说明 3. 粘贴到您的 Sentinel 搜寻窗格或分析规则向导中 4. 在部署到生产环境之前，请阅读调优和验证注释 ## 威胁情报与新闻来源 随时了解此仓库追踪的威胁。这些是构建战役检测包时使用的主要来源。 **Microsoft Security** - [Microsoft Security 博客](https://www.microsoft.com/en-us/security/blog/) — 官方威胁研究和 Defender/Sentinel 更新 - [Microsoft 威胁情报](https://ti.defender.microsoft.com/) — Microsoft 的威胁情报门户 - [MSRC 安全更新](https://msrc.microsoft.com/update-guide/) — 官方 CVE 公告和补丁指南 **威胁研究** - [CISA 公告](https://www.cisa.gov/news-events/cybersecurity-advisories) — 美国政府威胁公告和 IOC - [Unit 42 威胁研究](https://unit42.paloaltonetworks.com/) — Palo Alto Networks 威胁情报 - [CrowdStrike 对手情报](https://www.crowdstrike.com/blog/category/threat-intelligence/) — 对手追踪和 TTP 分析 - [Elastic Security Labs](https://www.elastic.co/security-labs) — 恶意软件分析和检测研究 - [Recorded Future 博客](https://www.recordedfuture.com/blog) — 威胁情报和战役追踪 **漏洞追踪** - [NIST NVD](https://nvd.nist.gov/) — 国家漏洞数据库 - [CVE.org](https://www.cve.org/) — CVE 详情和参考 - [Exploit DB](https://www.exploit-db.com/) — 公开漏洞利用和概念验证 **社区与新闻** - [BleepingComputer](https://www.bleepingcomputer.com/) — 最新安全新闻和恶意软件报道 - [The Hacker News](https://thehackernews.com/) — 每日网络安全新闻 - [Krebs on Security](https://krebsonsecurity.com/) — 调查性安全新闻 - [Dark Reading](https://www.darkreading.com/) — 企业安全新闻和分析 - [Infosecurity Magazine](https://www.infosecurity-magazine.com/) — 威胁战役报道 **IOC 源与搜寻** - [VirusTotal](https://www.virustotal.com/) — 文件和 URL 分析 - [Shodan](https://www.shodan.io/) — 互联网暴露基础设施发现 - [URLhaus](https://urlhaus.abuse.ch/) — 恶意 URL 追踪 - [MalwareBazaar](https://bazaar.abuse.ch/) — 恶意软件样本数据库 - [OTX AlienVault](https://otx.alienvault.com/) — 开放威胁情报平台 ## 贡献 欢迎并鼓励来自防御者社区的贡献。 1. Fork 此仓库并创建一个功能分支 2. 遵循上述查询头标准 3. 在实验室或非生产环境中测试您的查询 4. 打开一个 Pull Request，清晰描述正在检测的威胁或行为 对于新的战役包，请在战役文件夹中包含一个 `README.md`，描述威胁、受影响的平台以及如何协同工作。 ## 资源 - [KQL 文档](https://docs.microsoft.com/en-us/azure/data-explorer/kusto/query/) - [高级搜寻 Schema 参考](https://docs.microsoft.com/en-us/microsoft-365/security/defender/advanced-hunting-schema-tables) - [Microsoft Sentinel 文档](https://docs.microsoft.com/en-us/azure/sentinel/) - [MITRE ATT&CK 框架](https://attack.mitre.org/) - [KQL Playground](https://aka.ms/LADemo) - [Must Learn KQL](https://aka.ms/MustLearnKQL) ## 许可证 [MIT](LICENSE) — 可自由使用、分享和修改，需保留署名。

标签：AMSI绕过, Cloudflare, Defender XDR, EDR, Entra ID, IP 地址批量处理, KQL, Kusto 查询语言, Microsoft Sentinel, Microsoft 安全栈, MITRE ATT&CK, PE 加载器, Web报告查看器, 威胁检测, 安全脚本, 安全运营, 扫描框架, 攻击活动, 检测规则, 生产级, 网络安全, 网络资产发现, 脆弱性评估, 隐私保护