iimp0ster/detection-chokepoints

GitHub: iimp0ster/detection-chokepoints

基于攻击瓶颈理论的威胁检测工程项目,提供跨多条攻击链的 Sigma 规则和三层成熟度检测方案,帮助防御方在工具轮换中保持持久检测能力。

Stars: 56 | Forks: 4

# 检测瓶颈

Detection Chokepoints — 16-bit arcade fighting-game scene of a jiu-jitsu rear naked choke with body triangle: the fighter in red has back control and strangles the fighter in blue, with health bars and a match timer overhead

实时网站:[iimp0ster.github.io/detection-chokepoints](https://iimp0ster.github.io/detection-chokepoints/) ## 为什么会有这个项目 Kaspersky 在 2022 年分析了八大勒索软件操作,发现它们都共享相同的核心 kill chain。外部远程服务 (External Remote Services)、命令和脚本解释器 (command and scripting interpreters)、WMI 以及 LSASS 凭据转储出现在每一个组织中。影子副本删除和服务停止出现在 8 个组织中的 7 个中。工具不断轮换。而需求却从未改变。 这种模式并非勒索软件独有。我们使用 [Kitsune](https://github.com/christina23/kitsune)(一个 AI 驱动的威胁情报 pipeline)重建了针对 5 条攻击链的 TTP 重叠分析,并对通过 [ORKL](https://orkl.eu/) 获取的 60 多份供应商和政府报告中的过程级数据进行了关联。每条链最终都汇聚到少数几个不可避免的瓶颈上。每次的框架都是一样的。 与此同时,攻击者的速度不断压缩着响应窗口。Mandiant M-Trends 2025 报告指出,全球中位驻留时间 (dwell time) 为 11 天,低于 2011 年的 416 天——而 Unit 42 的 2026 年全球事件响应报告 (Global Incident Response Report) 显示,最快的四分之一入侵在 72 分钟内就完成了从攻陷到数据 exfiltration 的过程。已经没有时间去追逐工具签名了。您需要的是首次尝试就能在工具轮换中存活下来的检测方案。 ## 瓶颈索引 追踪了 13 个瓶颈。每个都有标准的 YAML 条目和三个成熟度级别的 Sigma 规则;端点侧的瓶颈还提供了用于实验室验证的 PowerShell 模拟脚本。 | 瓶颈 | 战术 | 优先级 | 普遍性 | 难度 | |------------|--------|----------|------------|------------| | [LSASS 凭据转储](chokepoints/credential-access/lsass-credential-dumping.yml) | 凭据访问 | CRITICAL | VERY HIGH | MEDIUM | | [AiTM WebSocket Kit Relay](chokepoints/credential-access/aitm-websocket-relay.yml) | 凭据访问 | CRITICAL | HIGH | MEDIUM | | [Infostealer 浏览器凭据窃取](chokepoints/credential-access/browser-credential-theft.yml) | 凭据访问 / 收集 / Exfiltration | CRITICAL | HIGH | MEDIUM | | [EDR 绕过技术](chokepoints/defense-evasion/edr-bypass-techniques.yml) | 防御规避 | CRITICAL | HIGH | HIGH | | [勒索软件服务操纵](chokepoints/defense-evasion/ransomware-service-manipulation.yml) | 防御规避 / 影响 | CRITICAL | HIGH | LOW | | [Web Shell 持久化](chokepoints/persistence/web-shells.yml) | 持久化 / 初始访问 / 执行 | CRITICAL | HIGH | MEDIUM | | [ClickFix 技术](chokepoints/initial-access/clickfix-techniques.yml) | 初始访问 | HIGH | HIGH | LOW | | [重命名的 RMM 工具](chokepoints/initial-access/renamed-rmm-tools.yml) | 初始访问 / C2 | HIGH | HIGH | MEDIUM | | [远程执行工具 (HackTools)](chokepoints/lateral-movement/remote-execution-tools.yml) | 横向移动 / 执行 | HIGH | HIGH | MEDIUM | | [BYOSI 脚本解释器](chokepoints/defense-evasion/byosi-scripting-interpreters.yml) | 防御规避 / 执行 | HIGH | EMERGING | HIGH | | [通过 Auth Broker 的 OAuth Device Code Phishing](chokepoints/defense-evasion/oauth-device-code-phishing.yml) | 防御规避 | HIGH | MEDIUM | LOW | | [Post-AiTM Graph API 侦察突发](chokepoints/discovery/graph-api-recon-burst.yml) | 发现 | HIGH | MEDIUM | MEDIUM | | [AiTM Kit 设备 PRT 注册](chokepoints/persistence/aitm-device-prt-enrollment.yml) | 持久化 | HIGH | MEDIUM | LOW | ## 攻击链 每条链都将 5 个攻击者映射到相同的 kill chain 上,以展示每个组织在哪里汇合。通过 Kitsune + ORKL 提供基于研究的 TTP 数据。 | 链 | 追踪的攻击者 | 共享技术 | |-------|----------------|-------------------| | [勒索软件](attack-chains/ransomware.md) | BlackBasta, LockBit 3.0, Akira, Alphv/BlackCat, Play | 260 个过程,36 份报告 | | [Infostealers](attack-chains/infostealers.md) | RedLine, LummaC2, Vidar, StealC, Raccoon | 28 个共享 | | [AiTM / Phishing Kits](attack-chains/aitm.md) | Tycoon 2FA, Evilginx, EvilProxy, Sneaky 2FA, Device Code | 12 个共享 | | [Hypervisor 攻陷](attack-chains/hypervisor-compromise.md) | BRICKSTORM/UNC5221, UNC3886, Scattered Spider, Play, Alphv | 22 个共享 | | [AD / 身份控制](attack-chains/identity-domination.md) | APT29, Storm-0501, Storm-2372, Scattered Spider, 勒索软件操作 | 23 个共享 | ## 框架 改编自 [Matt Graeber 在 Red Canary 的威胁研究方法](https://redcanary.com/blog/threat-detection/threat-research-questions/)。对于每一项技术,按顺序提出六个问题: 1. 从技术层面来看,这项技术是什么? 2. 它要取得成功必须具备什么条件? 3. 攻击者能控制什么? 4. **攻击者无法控制什么?** ← 这就是瓶颈 5. 我们能观察到它吗? 6. 所有的变体有哪些? 第 1-3 步建立理解。第 4 步识别瓶颈。第 5-6 步将其转化为检测方案。 包含工作示例的完整演练、交互式瓶颈关系图(瓶颈 ↔ ATT&CK 技术 ↔ 工具变体,可按战术过滤)以及成熟度模型:[框架页面](https://iimp0ster.github.io/detection-chokepoints/framework/)。 ## 检测成熟度模型 每个瓶颈都包含三个级别的 Sigma 规则。不要跳级。 | 级别 | 目标 | FP 率 | 用例 | |-------|------|---------|----------| | **研究** | 建立可见性,baseline 行为 | 高 | 威胁研究,日志源验证 | | **狩猎** | 减少噪音,保持覆盖率 | 中 | 主动狩猎,活动检测 | | **分析师** | 生产级 SOC 告警 | 低 | 自动化告警,IR 升级 | 从“研究”级别开始,以了解您的环境中有什么。将其调优至“狩猎”级别。再将其强化至“分析师”级别。每个级别都会为下一个级别提供输入。 ## 预防层 检测只是一半的价值。每个瓶颈还记录了分类的预防机会——应用程序控制、LOLBAS/解释器阻止、Credential Guard/PPL、MFA 强制执行——并在适用的地方映射到 [MagicSword](https://magicsword.io) 威胁驱动的应用程序控制配置文件。 ## 趋势 对瓶颈格局变化的数据驱动分析。哪些 cradle 占主导地位,哪些绕过技术正在兴起,攻击者重用了哪些基础设施。 - [ClickFix 投递链](trends/clickgrab.md):一年的 MHaggis ClickGrab / ClickFix Hunter 抓取数据——分析了 21,500 多个站点,其中 20,500 多个为恶意站点。追踪 cradle 家族的演变(IWR→curl 枢轴)、Base64 绕过技术增长 18 倍、自删除机制的出现以及 CDN staging。 - [边缘设备漏洞利用趋势](trends/edge-exploits/):Defused Cyber 蜜罐在 25 种诱饵类型和 40 多个 CVE 中的遥测数据——超过 15,000 次漏洞利用尝试。CitrixBleed 2 工具包的普遍性、CVE-2022-22536 SAP 爆发、多阶段 kill chain 以及自我复制的蠕虫。 - [软件伪装基础设施](trends/masq-infra.md):经过验证的 favicon-pivot 狩猎,加上包含 1,500 多条记录的 IOC pipeline(MalwareBazaar、ThreatFox、URLScan)。JavaScript 门控的 EXE 投递、ClickFix 安装模态框、开发者工具域名抢注。 ## 仓库结构 ``` chokepoints/ # Canonical YAML entries, one file per chokepoint, organized by tactic sigma-rules/ # Sigma rules at three maturity levels (research / hunt / analyst) iok-rules/ # Indicator of Knowledge rules for lure/phishing page detection emulation/ # PowerShell scripts to validate detections in a lab attack-chains/ # Full kill chain documentation with actor convergence matrices trends/ # Threat trend analyses and chokepoint evolution tracking intel/ # Free intelligence resources tied to specific chokepoints templates/ # Templates for contributors (chokepoint YAML, quick-add, evolution tracker) scripts/ # Data ingestion and overlap-builder scripts (Kitsune + ORKL pipeline artifacts) schema/ # Field definitions and valid values for chokepoint entries _data/ # Jekyll data files (chokepoints, TTP overlap per attack chain) ``` ## 如何使用此仓库 ### 威胁猎人 1. 按战术浏览 [chokepoints/](chokepoints/) 2. 从 [sigma-rules/](sigma-rules/) 中获取您目标成熟度级别的 Sigma 规则 3. 查看 [trends/](trends/) 以获取关于野外实际存在情况的当前遥测数据 ### 检测工程师 1. 部署 Research 规则以 baseline 您环境中的行为 2. 根据您的 baseline 调优 Hunt 规则 3. 一旦误报率降低到可接受的程度,将其提升至 Analyst 级别 4. 在隔离的实验室中使用 [emulation/](emulation/) 中的 PowerShell 模拟脚本进行验证 ### Phishing 和诱饵检测 1. 检查 [iok-rules/](iok-rules/) 以获取位于 Web 代理或 phish.report 层的 Indicator of Knowledge (IOK) 规则 2. IOK 规则可检测不变的页面端行为(剪贴板植入 + 执行指令),而无需考虑视觉设计或混淆 ### 追踪威胁演变 - 针对现有瓶颈的新工具变体:使用 [templates/quick-add.md](templates/quick-add.md) - 全新的技术:从 [templates/chokepoint-template.yml](templates/chokepoint-template.yml) 开始 - 完整的工作示例:[templates/EXAMPLE-WORKFLOW.md](templates/EXAMPLE-WORKFLOW.md) ## 资源 | 资源 | 用途 | |----------|----------| | [MITRE ATT&CK](https://attack.mitre.org/) | 用于所有瓶颈映射的技术分类法 | | [Sigma 规范](https://github.com/SigmaHQ/sigma-specification) | 跨所有检测级别的规则格式 | | [Kitsune](https://github.com/christina23/kitsune) | AI 驱动的威胁情报 pipeline,用于提取和关联过程级数据 | | [ORKL](https://orkl.eu/) | 开放知识库 (Open Repository of Knowledge on Libraries),攻击链分析的语料库来源 | | [Kaspersky:现代勒索软件的常见 TTP (2022)](https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2022/06/23093553/Common-TTPs-of-the-modern-ransomware_low-res.pdf) | 瓶颈方法的经验基础 | | [Mandiant M-Trends](https://www.mandiant.com/m-trends) | TTR 压缩数据的来源 | | [Red Canary:威胁研究的为什么、是什么和怎么做](https://redcanary.com/blog/threat-detection/threat-research-questions/) | 本框架所改编的 Matt Graeber 的研究方法 | | [MHaggis ClickGrab](https://mhaggis.github.io/ClickGrab/) | 为趋势分析提供实时 ClickFix 抓取数据 | | [Defused Cyber](https://defusedcyber.com/) | 为边缘漏洞利用趋势分析提供遥测数据的蜜罐 | | [Huntress:不要为 ClickFix 技术感到焦虑](https://huntress.com/blog/dont-sweat-clickfix-techniques) | 野外的 ClickFix 变体详细剖析 |
标签:AI合规, AMSI绕过, PE 加载器, Sigma规则, 勒索软件防护, 威胁情报, 威胁检测, 开发者工具, 目标导入, 网络安全, 逆向工具, 隐私保护