Epiphanistic/threat_hunting

# 威胁狩猎作品集 本仓库是一个**作品集形式的集合**，包含威胁狩猎研究笔记和检测工程示例。旨在展示我如何端到端地处理调查工作：定义假设、界定数据源、将行为映射到 MITRE ATT&CK、在适当的情况下提取指标，以及将发现转化为可操作的检测和响应指南。 ## 重要说明（范围与局限性） - **作品集意图：** 内容经过精心挑选以展示方法论和思考过程，并不旨在代表一个完整的企业检测项目。 - **部分内容覆盖不全：** 由于**时间和资源限制**（例如，遥测数据有限、无法访问生产级数据集，或无法运行完整的紫队验证），部分狩猎任务**故意保持未完成状态**，或在验证/调优方面着墨较少。 - **已脱敏和泛化：** 任何特定于环境的细节、敏感标识符或专有上下文均已被移除或抽象化处理。 - **非即插即用型检测：** 查询语句和模式仅为示例，通常需要进行适配（字段名、schema、基线、白名单、阈值以及本地操作限制）。 ## 目标受众 - **HR / 招聘人员：** 这是实践安全工作的证明 - 结构化思维、调查深度以及以检测为中心的交付成果。 - **安全工程师 / SOC / DFIR：** 您将在此找到基于假设的狩猎任务、实用的检测逻辑，以及关于需要哪些遥测数据、如何验证或调优的清晰说明。 ## 仓库结构 每个狩猎文件夹通常旨在包含： - **执行摘要**（风险及其重要性） - **假设**（我们期望发现什么以及为什么） - **范围**（系统/身份/时间窗口） - **数据源**（日志/遥测假设） - **检测思路/查询**（面向 SIEM，尽可能与平台无关） - **MITRE ATT&CK 映射**（战术/技术及理由） - **验证/调优说明**（如果可用） ## 狩猎索引（概览） | 狩猎 / 主题 | 涵盖内容 | 典型结果 | |---|---|---| | [`RMM-ScreenConnect`](RMM-ScreenConnect) | ConnectWise ScreenConnect（远程访问/支持工具）的滥用或可疑使用模式，包括来源和操作指标 | 分诊指南、可疑中继/主机模式、检测逻辑和调查切入点 | | [`General_ServicePrincipal_Impersonation`](General_ServicePrincipal_Impersonation) | 针对可疑服务主体使用情况的行为狩猎（云身份滥用模式、异常身份验证/权限使用） | 用于狩猎的查询模式、基线概念和检测候选项 | | [`AppSuite_PDF_Editor_Backdoor`](AppSuite_PDF_Editor_Backdoor) | 将 OSINT 转化为检测，针对疑似恶意的“PDF Editor”/更新器行为 | 指标、行为和潜在的检测切入点（进程/网络/持久化） | | [`RedDirection_Browser_Extensions`](RedDirection_Browser_Extensions) | 恶意或被滥用的浏览器扩展/重定向链及其操作足迹 | 专注于扩展滥用和重定向行为的调查切入点和检测思路 | | [`SharePoint_ToolShell_CVE-2025-53770`](SharePoint_ToolShell_CVE-2025-53770) | 与 ToolShell/SharePoint 利用路径及可观察的利用后行为相关的狩猎笔记 | 威胁导向的切入点、疑似工件和检测机会 | | [`Plague_PAM_Backdoor`](Plague_PAM_Backdoor) | Linux 上的 Plague PAM 后门行为、身份验证绕过和持久化 | 调查切入点、IOC 以及与 PAM 篡改和 SSH 访问相关的检测思路 | | [`SilkTyphoon_UNC5221`](SilkTyphoon_UNC5221) | 针对 Silk Typhoon / UNC5221 技巧的行为狩猎（云前端 C2、vCenter/ESXi 滥用） | DNS/隧道切入点、身份验证异常和 vCenter 调查线索 | | [`P2P_Policy_Violation`](P2P_Policy_Violation) | 策略驱动的狩猎，针对 P2P/代理软件使用、高风险示例以及更广泛范围内的工具 | 终端清单、DNS 切入点和修复目标 | | [`OAST_Domains`](OAST_Domains) | OAST 回调公共隧道域名的狩猎，结合高熵 DNS 切入点 | OAST 信号清单、隧道暴露审查和测试验证 | | [`HazyBeacon_LambdaURL_C2`](HazyBeacon_LambdaURL_C2) | 狩猎 AWS Lambda URL 被用作隐蔽 C2 (HazyBeacon/CL-STA-1020) 的情况 | 非浏览器 DNS 到 lambda-url.on.aws 的查询及相关检测 | | [`LotusBlossom_Billbug_Notepad++_hijack`](LotusBlossom_Billbug_Notepad++_hijack) | WinGUp 更新器劫持暴露、Chrysalis 后门链和 Lotus Blossom 归因 | 暴露清单、可疑安装程序链、Chrysalis 工件和分诊指南 | | [`Operation_Neusploit_APT28_CVE-2026021509`](Operation_Neusploit_APT28_CVE-2026021509) | 针对_operation_ Neusploit (APT28) 的狩猎，查找 CVE-2026-21509 武器化 RTF 漏洞利用及 MiniDoor/PixyNetLoader 链 | WebDAV LNK 暂存切入点、有效负载工件狩猎和持久化分诊 | | [`DLL_Sideloading_Campaign_abusing_ahost_exe`](DLL_Sideloading_Campaign_abusing_ahost_exe) | 多个攻击者利用签名的 `ahost.exe` 配合恶意 `libcares-2.dll` 进行的 DLL 劫持滥用，包括 DCRat 和加载项进程注入技巧 | 行为优先的侧载链检测、可信二进制文件滥用分诊以及命令与控制/域名切入点 | | [`LiteLLM_PyPI_Supply_Chain_Compromise`](LiteLLM_PyPI_Supply_Chain_Compromise) | 针对 2026 年 3 月 LiteLLM PyPI 供应链妥协的狩猎包，包括启动钩子执行、窃取机密、数据暂存外发以及后续的 Kubernetes 风险 | 基于 KQL 的范围界定、持久化验证和凭据轮换优先级排序 | | [`Trivy_Ecosystem_Supply_Chain_Compromise`](Trivy_Ecosystem_Supply_Chain_Compromise) | 针对 2026 年 3 月 Trivy 生态系统妥协的狩猎包，包含 3 月 19 日的 Runner 窃取、Docker 后续动作、OpenVSX 上下文以及 CanisterWorm 的分离 | 工作流范围界定、Runner 内存窃取验证、Docker 暴露审查和集群感知响应指南 | ## 如何使用本仓库 1. 从与您关注的威胁主题（RMM 滥用、身份盗用、漏洞利用等）相匹配的狩猎文件夹开始。 2. 首先阅读**假设**和**数据源假设**。 3. 将**查询/检测说明**作为起点，然后进行适配： - 将字段名标准化为您 SIEM 的 schema - 为已知良好的管理工具和服务账户添加白名单 - 根据您环境的基线调整阈值 4. 进行验证对比： - 已知的良性管理工作流 - 已知的模拟对手行为（如果您可以运行受控测试） ## 工具与方法 我通常优先考虑： - **行为优先的检测**（减少对脆弱 IOC 的依赖） - **与 MITRE 对齐的文档**（传达意图和覆盖范围） - **可操作的结果**（分诊步骤、切入点和响应动作） - **可重复性**（模板、查询模式和结构化说明） ## 免责声明 本仓库按“原样”提供，用于作品集演示。不对其完整性、在每种环境中的正确性或未经审查和调整即可用于生产的适用性作任何保证。 ## 作者 Dan Maslinca Prisecaru 高级安全分析师 / 检测工程 / 威胁狩猎 欢迎并感谢任何反馈：[LinkedIn](https://www.linkedin.com/in/dan-maslinca-34846411/)

标签：Cloudflare, Detection Engineering, IOC提取, meg, MITRE ATT&CK, Purple Team, Python 实现, Threat Hunting, 信息安全, 假设驱动, 威胁发现, 威胁情报, 子域枚举, 安全数据分析, 安全方法论, 安全运营, 库, 应急响应, 开发者工具, 扫描框架, 攻击模拟, 狩猎报告, 简历项目, 紫队, 紫队演练, 网络安全, 隐私保护, 驱动签名利用