regantemudo/dfir-playbooks

# 🛡️ Regan Temudo — DFIR 与威胁情报研究      [](https://github.com/regantemudo/dfir-playbooks/actions/workflows/validate-iocs.yml) [](https://github.com/regantemudo/dfir-playbooks/actions/workflows/link-check.yml) [](https://github.com/regantemudo/dfir-playbooks/actions/workflows/mitre-coverage.yml) [](https://github.com/regantemudo/dfir-playbooks/actions/workflows/stale-content.yml) 实用的数字取证、事件响应 (DFIR) 和威胁情报研究 —— 基于**在野外观察到的真实攻击活动**。 这不是一个理论合集。这里的每一个 Playbook、样本和分析文章都来源于真实的威胁活动。 ## ⚡ 快速操作 | 操作 | 链接 | 你将找到什么 | |---|---|---| | 🚨 **立即响应事件** | [IR Playbooks →](./playbooks/) | 分步遏制程序 | | 🔍 **在环境中搜寻 IOC** | [IOC 索引 →](#-ioc-quick-reference) | IP、哈希、域名、检测查询 | | 🧬 **分析恶意软件样本** | [样本分析 →](./playbooks/malware-infection/README.md) | 已去除威胁的 PHP Shell 及行为说明 | | 🗺️ **将攻击映射到 MITRE ATT&CK** | [MITRE 覆盖率 →](#-mitre-attck-coverage) | 完整的技术索引 | | 🏗️ **调查 C2 基础设施** | [威胁基础设施 →](./threat-infrastructure/) | C2 模式、RMM 滥用、DNS 隧道 | | 📖 **阅读威胁行为者画像** | [勒索软件情报 →](./playbooks/ransomware-incident/) | Black Shrantac, Green Blood | | 🛡️ **构建检测规则** | [检测查询 →](#-detection-quick-reference) | 可直接部署的 SIEM/EDR 查询 | ## 这里的内容 ### 📋 事件响应 Playbooks (`/playbooks/`) 符合 NIST 和 SANS IR 方法论的分步 SOC 就绪响应程序。每个 Playbook 涵盖 检测 → 分诊 → 遏制 → 根除 → 恢复 → 经验总结。 | Playbook | 威胁类型 | 严重程度 | MITRE 覆盖 | |---|---|---|---| | [虚假 CAPTCHA → PowerShell 恶意软件](./playbooks/malware-infection/fake-captcha-powershell-malware-91-84-125-16) | 无文件恶意软件 / 社会工程学 | 🔴 高 | T1566, T1059.001, T1027, T1071.001 | | [钓鱼事件](./playbooks/phishing-incident/) | 钓鱼 / BEC | 🔴 高 | T1566, T1078 | | [勒索软件响应](./playbooks/ransomware-incident/) | 勒索软件 / 双重勒索 | 🔴 严重 | T1486, T1490, T1041 | | [内部威胁](./playbooks/insider-threat/) | 内部人员 / 数据渗出 | 🟠 中-高 | T1052, T1078, T1213 | | [云安全事件](./playbooks/cloud-incident/) | 云 / IAM 滥用 | 🔴 高 | T1078.004, T1530 | ### 🦠 恶意软件样本 (`/playbooks/malware-infection/`) 从活跃攻击活动中收集的已去除威胁的样本。所有 `.php` 文件已重命名为 `.php.sample` —— 在此状态下**无法执行**。 | 样本 | 类型 | 攻击活动 | |---|---|---| | `cache.php.sample` | PHP Web Shell (文件管理器) | 大规模 WordPress 入侵 | | `shadow-bot.php.sample` | PHP Web Shell + DB 工具 | 定向服务器入侵 | | `cleavable.php.sample` | 混淆 PHP 加载器 | C2 分发 | | `wordfencetenp.php.sample` | 恶意 WP 插件伪装 | 安全插件绕过 | | `lkdo11-16.php.sample` | 混淆释放器 | Payload 分发 | | `odcat17-110.php.sample` | 混淆释放器 | Payload 分发 | 详见 [malware-infection README](./playbooks/malware-infection/README.md) 获取完整分析说明。 ### 🕵️ 威胁情报与事件笔记 (`/incident-notes/`) 以分析师格式撰写的真实世界威胁调查。 - **[虚假 CAPTCHA PowerShell 攻击活动 (91.84.125.16)](./incident-notes/2026/fake-captcha-powershell-malware-91-84-125-16)** — 滥用 Windows 运行对话框执行无文件 PowerShell 恶意软件的活跃攻击活动 ### 🏗️ 威胁基础设施 (`/threat-infrastructure/`) | 类别 | 描述 | |---|---| | [C2 模式](./threat-infrastructure/c2-patterns/) | 影子 C2 面板和虚假 CAPTCHA 攻击活动 C2 (91.84.125.16) | | [开放目录](./threat-infrastructure/open-directories/) | 泄露 APK/EXE Payload 的暴露攻击者分发服务器 | | [RMM 滥用](./threat-infrastructure/rmm-abuse/) | 滥用 GoToResolve / LogMeIn 进行远程访问的恶意垃圾邮件 | | [DNS 隧道](./threat-infrastructure/dns-tunneling/) | 基于 DNS 的 C2 通信模式 | ### 📊 勒索软件情报 - **[Black Shrantac](./playbooks/ransomware-incident/)** — 双重勒索行为者，活跃于 2025 年 9 月至 2026 年 1 月。涉及政府、医疗、公用事业、金融服务等领域的 30 多名受害者。 - **[Green Blood Ransomware](./playbooks/ransomware-incident/)** — 扩展名 `.gblood`，已知 SHA-256 哈希，勒索信变体。 ## 🎯 IOC 快速参考 ### 恶意 IP ``` 91.84.125[.]16 # Fake CAPTCHA PowerShell C2 — payload host (/big.txt) 5.9.228[.]188:5000 # Shadow C2 admin panel ``` ### 恶意域名 ``` wertg-rewe[.]com # cleavable.php loader C2 (obfuscated in octal) stepmomhub[.]com # cache.php WordPress mass-compromise receiver ``` ### 文件哈希 (SHA-256) ``` 365f2f4de5ac872ce5a1fe6fbbf382b936c1defc6d767a37f69b5df4188d9522 # shadow-bot PHP shell 05294c9970f365c92e0b0f1250db678dc356dbf418dba27bdd5eeb68487a7199 # Green Blood ransomware sample ``` ### 勒索软件文件扩展名 ``` .gblood # Green Blood Ransomware ``` ### 勒索信文件名 ``` RESTORE_FILES.txt README.txt DECRYPT_INSTRUCTIONS.txt IMPORTANT_README.txt HOW_TO_RECOVER_FILES.txt ``` ## 🔎 检测快速参考 ### PowerShell / 无文件恶意软件 ``` # Windows 事件日志 — ScriptBlock Logging (Event ID 4104) Get-WinEvent -LogName "Microsoft-Windows-PowerShell/Operational" | Where-Object { $_.Message -match "Invoke-Expression|iex\b|-enc\b|91\.84\.125\.16" } # Sysmon / EDR — 可疑 PowerShell 启动 CommandLine contains "-enc" AND ParentProcess in ("outlook.exe","chrome.exe","msedge.exe","firefox.exe") ``` ### Web Shell 检测 ``` # 在 web root 中搜索 web shell 指标 grep -rn "eval(base64_decode\|shell_exec\|system(\|passthru(\|root@xshikata\|create_wp_admin" /var/www/ # PHP 进程生成 shell 告警 ParentProcess == "php-fpm" AND ChildProcess in ("bash","sh","cmd.exe","powershell.exe") ``` ### C2 网络搜寻 ``` # SIEM — 连接已知恶意 IP dst_ip IN ("91.84.125.16", "5.9.228.188") AND direction == "outbound" # Proxy 日志 — 可疑路径 http.uri_path == "/big.txt" AND http.method == "GET" # 来自服务器的 5000 端口出站告警 dst_port == 5000 AND src_zone == "server_dmz" ``` ### DNS 隧道 ``` # 高熵子域名检测 dns.query.name MATCHES "^[a-z0-9]{25,}\\..*$" AND dns.query.count > 50 WITHIN 5m AND dns.query.domain NOT IN (whitelist) ``` ### 勒索软件指标 ``` # 文件扩展名监控 file.extension IN (".gblood") OR file.name IN ("RESTORE_FILES.txt","DECRYPT_INSTRUCTIONS.txt","HOW_TO_RECOVER_FILES.txt") # 大规模文件修改 (勒索软件加密行为) file.write_count > 500 WITHIN 60s AND process.name NOT IN (backup_tools_whitelist) ``` ## 🗺️ MITRE ATT&CK 覆盖率 | 战术 | 技术 | ID | 覆盖于 | |---|---|---|---| | Initial Access | Phishing | T1566 | Phishing Playbook, Fake CAPTCHA | | Execution | PowerShell | T1059.001 | Fake CAPTCHA Playbook | | Execution | User Execution | T1204 | RMM Abuse, Phishing | | Persistence | Web Shell | T1505.003 | 所有 PHP 样本 | | Persistence | Remote Access Software | T1219 | RMM Abuse 分析文 | | Defense Evasion | Obfuscated Files/Info | T1027 | cleavable, lkdo, odcat 样本 | | Defense Evasion | Masquerading | T1036.005 | wordfencetenp 样本 | | Defense Evasion | Deobfuscate/Decode | T1140 | shadow-bot 样本 | | Credential Access | Valid Accounts | T1078 | cache.php, Insider Threat | | Discovery | Remote System Discovery | T1018 | Insider Threat Playbook | | Lateral Movement | Remote Services | T1021 | Ransomware Playbook | | Exfiltration | Exfil Over C2 Channel | T1041 | Ransomware, Insider Threat | | Exfiltration | DNS Tunneling | T1048.003 | DNS Tunneling 分析文 | | Impact | Data Encrypted for Impact | T1486 | Ransomware Playbooks | | Impact | Inhibit System Recovery | T1490 | Black Shrantac, Green Blood | | Command & Control | Web Protocols | T1071.001 | Fake CAPTCHA C2 | | Command & Control | Application Layer Protocol: DNS | T1071.004 | DNS Tunneling 分析文 | | Command & Control | Remote Access Software | T1219 | RMM Abuse | ## 🌍 实时威胁地图  ## 设计原则 - 真实攻击活动，非假设场景 - 防御者优先 —— 检测查询和响应步骤是优先事项 - 所有 Playbooks 均映射到 MITRE ATT&CK - 面向 Tier 1–3 分析师的 SOC 就绪结构 ## ⚠️ 免责声明 所有样本均已去除威胁并仅用于**防御性研究**。详见 [DISCLAIMER.md](./DISCLAIMER.md)。 **Regan Temudo** | DFIR 与威胁情报 [LinkedIn](https://linkedin.com/in/regan-temudo) · [GitHub](https://github.com/regantemudo)

标签：AI合规, Cloudflare, ffuf, GitHub Actions, IOC, MITRE ATT&CK, Playbook, TTP, 入侵指标, 内部威胁, 剧本, 勒索软件, 威胁情报, 子域名暴力破解, 子域枚举, 安全运营中心, 库, 应急响应, 开发者工具, 恶意样本, 恶意软件, 攻击战术, 数字取证, 漏洞响应, 网络安全, 网络映射, 自动化检测, 自动化脚本, 自动笔记, 隐私保护