zencefilefendi/GingerMaster

# GingerMaster ULTRA **新一代自主威胁狩猎引擎 v5.0** ``` ██████╗ ██╗███╗ ██╗ ██████╗ ███████╗██████╗ ███╗ ███╗ █████╗ ███████╗████████╗███████╗██████╗ ██╔════╝ ██║████╗ ██║██╔════╝ ██╔════╝██╔══██╗████╗ ████║██╔══██╗██╔════╝╚══██╔══╝██╔════╝██╔══██╗ ██║ ███╗██║██╔██╗ ██║██║ ███╗█████╗ ██████╔╝██╔████╔██║███████║███████╗ ██║ █████╗ ██████╔╝ ██║ ██║██║██║╚██╗██║██║ ██║██╔══╝ ██╔══██╗██║╚██╔╝██║██╔══██║╚════██║ ██║ ██╔══╝ ██╔══██╗ ╚██████╔╝██║██║ ╚████║╚██████╔╝███████╗██║ ██║██║ ╚═╝ ██║██║ ██║███████║ ██║ ███████╗██║ ██║ ╚═════╝ ╚═╝╚═╝ ╚═══╝ ╚═════╝ ╚══════╝╚═╝ ╚═╝╚═╝ ╚═╝╚═╝ ╚═╝╚══════╝ ╚═╝ ╚══════╝╚═╝ ╚═╝ ██╗ ██╗██╗ ████████╗██████╗ █████╗ ██║ ██║██║ ╚══██╔══╝██╔══██╗██╔══██╗ ██║ ██║██║ ██║ ██████╔╝███████║ ██║ ██║██║ ██║ ██╔══██╗██╔══██║ ╚██████╔╝███████╗██║ ██║ ██║██║ ██║ ╚═════╝ ╚══════╝╚═╝ ╚═╝ ╚═╝╚═╝ ╚═╝ ``` 一款先进的多平台终端检测与响应（EDR）工具，具备机器学习启发式行为分析、MITRE ATT&CK 映射以及自主威胁狩猎能力。 ## 功能特性 | 模块 | 描述 | 检测目标 | |--------|-------------|---------| | **ThreatIntelligence** | 实时 IOC 馈送集成 | 已知 C2、Tor 节点、恶意 IP/域名 | | **BehavioralAnalyzer** | 机器学习启发式行为画像分析 | CPU/RAM/网络异常 | | **BeaconDetector** | C2 信标模式检测 | Cobalt Strike、Sliver、Brute Ratel 模式 | | **DNSExfiltrationDetector** | DNS 隧道检测 | Base64/Hex 编码的子域名、DGA 域名 | | **FilelessMalwareDetector** | 无文件攻击检测 | PowerShell 载荷、AMSI 绕过 | | **ProcessInjectionDetector** | 注入技术检测 | 进程掏空、shellcode 模式 | | **PersistenceDetector** | 持久化机制检测 | 注册表、LaunchAgents、cron、systemd | | **ForensicsCollector** | 自动证据收集 | SQLite 数据库、JSON 报告 | ## MITRE ATT&CK 覆盖范围 ``` Execution: T1059.001 (PowerShell), T1059.003 (Cmd), T1106 (Native API) Persistence: T1547.001 (Registry Run Keys), T1053.005 (Scheduled Task) Privilege Esc: T1055 (Process Injection), T1055.012 (Process Hollowing) Defense Evasion: T1562.001 (Disable Security Tools), T1027 (Obfuscation) Credential Access: T1003 (Credential Dumping) Discovery: T1082 (System Info), T1057 (Process Discovery) C2: T1071.001 (Web Protocols), T1071.004 (DNS), T1571 (Non-Standard Port) Exfiltration: T1041 (Exfil Over C2), T1048 (Alternative Protocol) ``` ## 安装说明 ``` # 克隆仓库 git clone https://github.com/zencefilefendi/GingerMaster.git cd GingerMaster # 安装依赖 pip install -r requirements.txt # 运行 python3 GingerMaster_Ultra.py ``` ## 使用方法 ``` # 基本用法 python3 GingerMaster_Ultra.py # 使用自定义扫描间隔的详细模式 python3 GingerMaster_Ultra.py -v -i 3 # 全网络扫描（需要root/sudo权限） sudo python3 GingerMaster_Ultra.py # 自定义取证输出目录 python3 GingerMaster_Ultra.py -o /path/to/forensics ``` ### 命令行选项 | 选项 | 描述 | |--------|-------------| | `-h, --help` | 显示帮助信息 | | `-v, --verbose` | 启用详细输出 | | `-i, --interval` | 扫描间隔（秒）（默认值：5） | | `-o, --output` | 自定义取证数据输出目录 | ## 示例输出 ``` ╔══════════════════════════════════════════════════════════════╗ ║ [14:32:15] CRITICAL: C2_BEACON [T1071_001] ║ ╟──────────────────────────────────────────────────────────────╢ ║ C2 beaconing detected: chrome.exe → 185.220.101.1:443 ║ ╟──────────────────────────────────────────────────────────────╢ ║ avg_interval: 60.2 ║ ║ jitter_percent: 12.5 ║ ║ confidence: 0.92 ║ ╟──────────────────────────────────────────────────────────────╢ ║ Score: 0.92 | Source: BeaconDetector ║ ╚══════════════════════════════════════════════════════════════╝ ``` ## 取证与报告 所有检测到的威胁均自动记录至 SQLite 数据库： ``` # 数据库位置 ~/GingerMaster_Forensics/threats.db # 导出 JSON 报告 python3 -c " from GingerMaster_Ultra import GingerMasterUltra hunter = GingerMasterUltra() report = hunter.forensics.export_report() print(f'Report saved: {report}') " ``` ## 检测模块 ### 1. 可疑进程生成检测 监控父子进程关系，以检测 LOLBin（借力攻击二进制文件）滥用。 ### 2. C2 连接检测 识别与已知恶意 IP 及 C2 框架常用可疑端口的连接。 ### 3. 信标模式检测 运用统计分析检测具有抖动计算的典型 C2 信标规律性回调模式。 ### 4. DNS 数据外泄检测 识别通过 DNS 查询进行的数据外泄尝试，包括 Base64 编码的子域名和 DGA 模式。 ### 5. 无文件恶意软件检测 分析 PowerShell 命令中的可疑模式，包括： - Base64 解码 - 反射加载 - P/Invoke 调用 - AMSI 绕过尝试 - 凭据窃取工具 ### 6. 进程注入检测 检测多种注入技术： - 进程掏空 - DLL 注入 - 内存中的 shellcode 模式 ### 7. 持久化检测 监控常见持久化位置： - Windows：注册表 Run 键、计划任务、服务 - macOS：LaunchAgents、LaunchDaemons、登录项 - Linux：cron、systemd、init 脚本 ## 架构 ``` GingerMasterUltra ├── ThreatIntelligence # IOC feeds and threat data ├── BehavioralAnalyzer # ML-inspired anomaly detection ├── BeaconDetector # C2 beaconing pattern analysis ├── DNSExfiltrationDetector # DNS tunneling detection ├── FilelessMalwareDetector # In-memory attack detection ├── ProcessInjectionDetector # Injection technique detection ├── PersistenceDetector # Persistence mechanism monitoring └── ForensicsCollector # Evidence collection and reporting ``` ## 免责声明 本工具仅用于授权安全测试、防御性安全研究及教育目的。在非您拥有的系统上运行安全工具前，请务必获得适当授权。 ## 许可证 MIT 许可证 ## 作者 GingerMaster 安全研究团队

标签：AI安全, AMSI绕过, ATT&CK映射, C2信标检测, Chat Copilot, masscan, 下一代安全技术, 域环境安全, 威胁情报, 威胁情报平台, 威胁检测, 安全运营, 开发者工具, 扫描框架, 机器学习行为分析, 端点安全, 端点检测与响应, 网络安全, 脱壳工具, 自主威胁检测, 行为监控, 补丁管理, 逆向工具, 速率限制处理, 隐私保护