git-loa/threat-intel-research-portfolio
GitHub: git-loa/threat-intel-research-portfolio
一个展示威胁情报研究方法的作品集,包含结构化调查案例、OSINT自动化工具和CTI学习资料。
Stars: 2 | Forks: 0
# **威胁情报研究作品集**
## 徽章
本仓库通过结构化调查、漏洞案例研究、丰富化工具和基于场景的学习笔记,展示了我在网络威胁情报方面的工作。该作品集反映了一种务实、基于证据的方法,用于分析网络钓鱼活动、暴露的服务、可疑域名和攻击者基础设施——这一切都由 Bash/Python 自动化、Elastic Stack 遥测数据以及清晰简洁的报告提供支持。
本作品集的目标是展示分析深度、调查纪律,以及以结构化且易于理解的方式传达复杂发现的能力。每项调查都应用了核心 CTI 技能,包括情报生命周期、基于 OSINT 的收集、假设驱动的分析、ATT&CK 映射、结构化分析技术以及混合 OSINT + 内部遥测工作流。
## **从这里开始**
如果你是初次访问本仓库,以下是探索它的最佳方式:
1. **从已完成的案例研究开始**
这些展示了完整的 CTI 调查,具有清晰的结构、OSINT 收集、分析和报告。
2. **查看 CTI 学习部分**
基于场景的笔记,解释了 ATT&CK、Kill Chain 和 Diamond Model 等核心概念。
3. **探索 CTI 实验室文档**
`docs/cti_lab/` 文件夹概述了我如何使用 Elastic Stack 遥测数据来支持威胁狩猎和混合调查。
4. **查看下一个案例研究 + 进度追踪器**
这显示了我正在积极构建的内容以及作品集的演变方式。
5. **浏览工具文件夹**
包含用于丰富化、自动化和 OSINT 工作流的 Bash/Python 脚本。
这种结构反映了现实世界的 CTI 工作流,便于浏览调查、学习材料和支持工具。
## **精选作品**
### **MongoBleed (已完成)**
对暴露的 MongoDB 实例、数据泄露和攻击者基础设施的深入调查。
包括完整的 CTI 生命周期文档和 LaTeX 生成的情报报告。
**路径:** `case-studies/mongoBleed/`
**展示的技能:**
情报周期 • 漏洞分析 • 数据暴露评估 • 基础设施跳转 • 结构化分析技术 • ATT&CK 映射 • 报告撰写(技术 + 执行)
### **interiewca‑icu 钓鱼调查 (已完成)**
一起冒充区块链雇主在招聘平台上进行的基于二维码的网络钓鱼活动。
包括 WHOIS、DNS、URLScan、VirusTotal、时间线重建和 MITRE ATT&CK 映射。
**路径:** `case-studies/interiewca-icu-phishing/`
### MongoBleed
一个完整的 CTI 生命周期案例研究,分析了 MongoBleed,这是一种针对公开暴露的 MongoDB 实例的机会主义攻击的长期模式。包括方向、收集、处理、分析和传播阶段,全部基于公开的 OSINT。
**路径:** `case-studies/mongoBleed/`
### **案例研究进度**
- [ ] OpenSSL CMS 缓冲区溢出 (CVE‑2025‑15467)
- [ ] Erlang/OTP SSH 协议注入 (CVE‑2025‑32433)
- [ ] Office OLE 缓解绕过 (CVE‑2026‑21514)
- [ ] Elastic 威胁狩猎包
- [ ] 基础设施与诈骗活动调查
### **支持性 CTI 产出**
- [ ] 狩猎报告 (Elastic Stack)
- [ ] 简报
- [ ] RFI 响应
- [ ] 情报评估
- [ ] APT 档案 (仅限 OSINT)
- [ ] CTI 计划文档 (PIR、指标、利益相关者对齐)
## **作品集索引**
### **案例研究**
- `interiewca-icu-phishing/`
- `mongoBleed/`
- `_template/` (仅限 OSINT 的案例研究结构)
- `/`
### **CTI 学习**
基于场景的笔记和图表,涵盖:
- MITRE ATT&CK
- Kill Chain
- Diamond Model
- NIST CSF / 800‑61
- STIX/TAXII
- 威胁情报工具
- 标准与框架
- 威胁情报基础
完整内容可在 `cti_learning/` 中获取。
### **工具**
自定义丰富化和 OSINT 自动化脚本:
- `domain_enrich.sh`
- `vt_lookup.sh`
- `urlscan_submit.sh`
- `domain_enrich.py`
使用说明可在 `tools/README.md` 中获取。
## **仓库结构**
本仓库组织结构旨在反映专业的 CTI 工作流,包括案例研究、学习材料、工具和实验室文档。
```
.
├── case-studies/ # Full CTI investigations and reports
│ ├── interiewca-icu-phishing/
│ ├── mongoBleed/
│ └── _template/ # OSINT-only case study template
│
├── cti_learning/ # Scenario-based CTI learning notes
│ ├── diagrams/
│ ├── learning_log/
│ ├── mini_investigations/
│ └── notes/
│
├── docs/ # Meta-documentation and CTI lab materials
│ ├── overview.md
│ ├── reference.md
│ ├── repository_structure.md
│ └── cti_lab/
│ ├── roadmap.md
│ ├── simulations.md
│ ├── lab_capabilities.md
│ └── project_plan.md
│
├── tools/ # OSINT enrichment and automation scripts
│ ├── domain_enrich.py
│ ├── domain_enrich.sh
│ ├── urlscan_submit.sh
│ ├── vt_lookup.sh
│ └── README.md
│
├── LICENSE
├── Makefile
└── README.md
```
每个目录都经过精心构建,旨在支持可重复的 CTI 工作流、清晰的文档和可用于作品集的调查。
## **CTI 实验室环境**
本作品集由一个自托管的 Elastic Stack 实验室提供支持,旨在模拟现实世界的 CTI 工作流。该环境包括:
- 用于日志存储的 **Elasticsearch**
- 用于分析、狩猎和可视化的 **Kibana**
- 用于端点管理的 **Fleet Manager**
- 部署在 Ubuntu 端点上的 **Elastic Agent**
该实验室支持:
- 内部遥测分析(进程、网络、DNS、文件事件)
- 威胁狩猎和假设驱动的调查
- 检测规则测试和警报分类
- 模拟事件的时间线重建
- 混合 OSINT + 遥测案例研究
- 应用于真实数据的结构化分析技术
该环境允许我以安全、合乎道德且符合生产质量的方式实践专业的 CTI 工作流。
## **我的工作方式**
我的调查方法强调:
- 结构化分类和假设驱动的分析
- 基于 OSINT 的枚举 (WHOIS, DNS, RDAP, HTTP)
- 证据收集和时间线重建
- 跨域名、IP 和 ASN 的基础设施跳转
- 使用 MITRE ATT&CK 进行行为映射
- 使用 Elastic Stack 进行内部遥测分析
- 清晰、对初学者友好的文档
我力求在分析严谨性与易于理解的沟通之间取得平衡,确保每项调查在技术上都是合理的且易于理解。本作品集反映了 CTI 技能的持续发展,包括结构化分析、报告、威胁狩猎和项目级情报实践。
标签:Bash, Cloudflare, Elasticsearch, Elastic Stack, ESC4, IP 地址批量处理, MITRE ATT&CK, MIT许可证, OSINT, Python, STIX/TAXII, 威胁情报, 密码管理, 应用安全, 开发者工具, 情报工作流, 情报收集, 攻击基础设施分析, 无后门, 案例分析, 流量重放, 漏洞研究, 结构化调查, 网络安全, 自动化富化, 越狱测试, 逆向工具, 钓鱼攻击分析, 防御加固, 隐私保护