AAdeyinka22/Mitre-Attck-APT-Threat-Hunting

GitHub: AAdeyinka22/Mitre-Attck-APT-Threat-Hunting

这是一个基于 MITRE ATT&CK 框架、针对铁路交通运输领域的 APT 威胁猎杀项目，通过映射战术技术程序（TTP）来制定可执行的检测策略与防御建议。

Stars: 0 | Forks: 0

# 🚨 铁路交通运输领域的 APT 威胁猎杀 ### MITRE ATT&CK | 威胁情报 | 检测工程 ## 📌 概述本项目提出了一个**结构化威胁猎杀演练**，重点关注**高级持续性威胁 (APT) 组织**及其对**铁路交通运输领域**的潜在影响。利用真实的威胁情报和 **MITRE ATT&CK 框架**，本项目识别对手行为，映射战术、技术和程序 (TTP)，并将其转化为**可执行的检测策略**。 ## 👤 作者 **Martins Adeyanju** 网络安全分析师 ## 🎯 目标 * 识别与**铁路基础设施**相关的威胁行为者 * 将对手行为映射到 **MITRE ATT&CK Enterprise** * 分析**恶意软件、CVE 和攻击模式** * 制定**威胁猎杀假设** * 为**关键基础设施**提供防御建议 ## 🌍 范围 | 类别 | 详情 | | -------------- | --------------------------------------------------- | | 目标国家 | 英国 🇬🇧 | | 部门 | Rail Transportation / Critical Infrastructure | | 威胁重点 | 破坏、间谍活动、凭证窃取、勒索软件 | | 框架 | MITRE ATT&CK Enterprise | ## 🧠 已分析的威胁行为者 * **FIN7** – 金融网络犯罪、勒索软件、凭证窃取 * **Electrum** – ICS/OT 攻击、破坏性恶意软件 * **DarkHotel** – 鱼叉式网络钓鱼、高管定向攻击 * **GhostSec** – 激进黑客行动主义、破坏活动 * **SideCopy** – 侧重间谍活动的行动 * **Predatory Sparrow** – 基础设施破坏 ## 🛠️ 工具与资源 * **MITRE ATT&CK Navigator** – TTP 映射与可视化 * **SOCRadar** – 威胁情报平台 * **OSINT Sources** – CVE、恶意软件情报、行业报告 ## 🔬 方法论本项目遵循**真实世界威胁猎杀工作流**： ### 1️⃣ 威胁情报收集 * 利用情报平台识别威胁行为者 * 提取： * 恶意软件家族 * CVE * 目标行业和地区 ### 2️⃣ MITRE ATT&CK 映射映射对手技术，包括： * `T1133` – External Remote Services * `T1071.001` – Web Protocols * `T1543` – Create or Modify System Process * `T1005` – Data from Local System * `T1550` – Use Alternate Authentication Material * `T1583.003` – Virtual Private Server ### 3️⃣ 假设驱动的猎杀示例： ### 4️⃣ 恶意软件与 CVE 分析 **观察到的恶意软件：** * Mimikatz * Carbanak * KillDisk * GreyEnergy * PlugX 变体 **样本 CVE：** * CVE-2025-42957 * CVE-2025-8088 * CVE-2024-40711 * CVE-2024-3806 ### 5️⃣ 行为分析常见攻击者模式： * 利用面向公众的系统 * 凭证转储与重用 * Living-off-the-land 技术 (LOLBins) * 通过 Web 协议进行 Command & Control ## 📊 关键发现 ### 🔥 共用技术 * 远程访问利用 (`T1133`) * 凭证滥用 (`T1550`、`T1003`) * 基于 Web 的 C2 (`T1071.001`) * 通过进程操作实现持久化 (`T1543`) ### 🚆 铁路行业风险 * 高度依赖**实时系统** * IT/OT 融合扩大了攻击面 * 破坏可能影响**公共安全和国家运行** ### ⚠️ 检测缺口 * 对远程服务的监控有限 * 凭证活动可见性较弱 * 缺乏针对 OT 的检测 * 行为分析不足 ## 🛡️ 建议 * 监控远程访问 (VPN、RDP、外部服务) * 检测凭证转储和异常身份验证 * 启用进程监控 (Event ID 4688 / Sysmon ID 1) * 隔离 IT 和 OT 环境 * 部署具备行为检测能力的 EDR/XDR * 开展基于 ATT&CK 的定期威胁猎杀 ## 📸 截图 ![App Screenshot](https://github.com/AAdeyinka22/Mitre-Attck-APT-Threat-Hunting/blob/899a693e18c8e0acb268eb988a017218f329a805/DarkHotel1.jpg) ![App Screenshot](https://github.com/AAdeyinka22/Mitre-Attck-APT-Threat-Hunting/blob/baeabfd7f0f7079c1f241547eb73f484b7ae1755/Electrum%20R39.jpg) ![App Screenshot](https://github.com/AAdeyinka22/Mitre-Attck-APT-Threat-Hunting/blob/baeabfd7f0f7079c1f241547eb73f484b7ae1755/FIN7%20R21.jpg) ![App Screenshot](https://github.com/AAdeyinka22/Mitre-Attck-APT-Threat-Hunting/blob/baeabfd7f0f7079c1f241547eb73f484b7ae1755/GhostSec%20R141.jpg) ![App Screenshot](https://github.com/AAdeyinka22/Mitre-Attck-APT-Threat-Hunting/blob/baeabfd7f0f7079c1f241547eb73f484b7ae1755/Predatory%20Sparrow%20R157.jpg) ![App Screenshot](https://github.com/AAdeyinka22/Mitre-Attck-APT-Threat-Hunting/blob/baeabfd7f0f7079c1f241547eb73f484b7ae1755/SideCopy%20R147.jpg) ![App Screenshot](https://github.com/AAdeyinka22/Mitre-Attck-APT-Threat-Hunting/blob/f05fb574e5081fa236f04287a879ee294aae2ce9/Layer%20overlap%20by%20operation.jpg)) ## 💡 关键要点本项目演示了如何将： **Threat Intelligence → ATT&CK Mapping → Detection Engineering** 转化为适用于真实世界**关键基础设施环境**的**实用威胁猎杀工作流**。 ## 🔗 参考资料 * MITRE ATT&CK – [https://attack.mitre.org](https://attack.mitre.org) * MITRE ATT&CK Navigator – [https://mitre-attack.github.io/attack-navigator](https://mitre-attack.github.io/attack-navigator) * SOCRadar – [https://socradar.io](https://socradar.io) **本项目是在网络安全导师计划期间开发的，突显了我将威胁情报和 MITRE ATT&CK 方法论应用于现实世界安全挑战的能力**

标签：APT, ATT&CK框架, Cloudflare, CVE分析, DarkHotel, Electrum, ESC4, FIN7, GhostSec, MITRE ATT&CK, OSINT, OT安全, PKINIT, Predatory Sparrow, SideCopy, SOCRadar, TTPs, 假设开发, 关键基础设施, 勒索软件, 威胁情报, 安全运营, 工控安全, 开发者工具, 恶意软件, 情报分析, 扫描框架, 漏洞分析, 破坏活动, 管理员页面发现, 网络安全, 网络诊断, 网络间谍, 路径探测, 轨道交通, 铁路运输, 防御策略, 隐私保护, 高级持续性威胁, 鱼叉式钓鱼