Higor1912/Threat-Intel-Reports

# 威胁情报报告 基于 OSINT 调查和 MITRE ATT&CK 映射的运营级威胁情报报告。每份报告都记录了一个现实世界的威胁活动——涵盖对手基础设施、IOC 关联、TTP 分析以及可操作的检测建议。 ## 报告 | # | 日期 | 标题 | 类型 | 威胁行为者 | |---|------|-------|------|--------------| | 01 | Oct/2025 | [Efimer Trojan — 针对巴西用户的 AI 辅助钓鱼活动](./2025-10_EfimerTrojan-Phishing/report.md) | Phishing / Malware | Unknown (FIN) | ## 方法论 所有报告均遵循结构化的情报流程： **收集** → OSINT 来源（VirusTotal, OTX, ThreatFox, Shodan, passive DNS, cert transparency） **处理** → IOC 提取、无害化处理、去重 **分析** → 行为映射、基础设施拓展、TTP 关联 **产出** → 包含 MITRE ATT&CK 映射和检测建议的结构化报告 **分发** → 在此仓库中发布，包含完整的工件集 ## 报告结构 每份报告都组织在独立的文件夹中： ``` YYYY-MM_[ThreatName]/ ├── report.md # Full technical analysis ├── iocs.txt # Defanged indicators of compromise ├── mitre_mapping.json # ATT&CK techniques in structured format ├── references.txt # Sources and external references └── screenshots/ # Visual evidence from analysis ``` ## MITRE ATT&CK 覆盖范围 所有报告中记录的技术： | 技术 ID | 名称 | 报告 | |---|---|---| | T1566.002 | Phishing: Spearphishing Link | 01 | | T1204 | User Execution | 01 | | T1027 | Obfuscated Files or Information | 01 | | T1003 | OS Credential Dumping | 01 | | T1041 | Exfiltration Over C2 Channel | 01 | | T1547.001 | Registry Run Keys / Startup Folder | 01 | ## 使用的工具 | 类别 | 工具 | |---|---| | IOC 查询与扩充 | VirusTotal, AlienVault OTX, ThreatFox | | 沙箱分析 | Any.Run, Hybrid Analysis | | 基础设施 / OSINT | Shodan, Whois, Wayback Machine, Passive DNS | | ATT&CK 映射 | attack.mitre.org, MITRE Navigator | | 报告撰写 | Markdown, structured JSON | ## 关于 本仓库是我公开 CTI 作品集的一部分。所有分析均基于开源情报 (OSINT)，发布用于教育和专业演示目的。 **作者:** Higor Silva **专注领域:** Operational Threat Intelligence · Adversary Tracking · Infrastructure Analysis **联系方式:** [LinkedIn](https://www.linkedin.com/in/higor-silva-sec)

标签：AI 安全, Ask搜索, Cloudflare, DNS 反向解析, Homebrew安装, MITRE ATT&CK, TTP 分析, VirusTotal, 入侵指标, 命令与控制, 威胁分析, 威胁情报, 巴西威胁, 开发者工具, 恶意软件, 技术报告, 搜索语句（dork）, 数字取证, 漏洞靶场, 网络犯罪, 自动化侦查工具, 自动化脚本, 防御加固, 防御检测