0xsabry/ThreatScope

GitHub: 0xsabry/ThreatScope

一款零依赖的日志智能分析引擎,通过 115+ 检测规则和 MITRE ATT&CK 映射快速识别 Windows 日志中的威胁与攻击链。

Stars: 0 | Forks: 0

# 🛡️ ThreatScope — 高级日志智能与威胁检测引擎
![Python](https://img.shields.io/badge/Python-3.8%2B-blue?style=for-the-badge&logo=python) ![Version](https://img.shields.io/badge/Version-3.0.0-brightgreen?style=for-the-badge) ![Rules](https://img.shields.io/badge/Detection%20Rules-115%2B-red?style=for-the-badge) ![MITRE](https://img.shields.io/badge/MITRE%20ATT%26CK-97%20Techniques-orange?style=for-the-badge) ![Categories](https://img.shields.io/badge/Attack%20Categories-25-purple?style=for-the-badge) ![License](https://img.shields.io/badge/License-MIT-lightgrey?style=for-the-badge) ![STIX](https://img.shields.io/badge/STIX%202.1-IOC%20Export-cyan?style=for-the-badge) ![Sigma](https://img.shields.io/badge/Sigma-Rule%20Support-yellow?style=for-the-badge) **由 [0xSABRY](https://github.com/0xsabry) 打造 — SOC Analyst & Threat Hunter**
## 概述 **ThreatScope** 是一款独立的、零依赖的 Windows 日志分析与威胁检测工具,由 Python 构建。它能够读取 `.log`、`.txt` 和 `.evtx` (Windows Event Log) 文件,并应用 **115+ 条由正则表达式驱动的检测规则**,以揭示威胁、关联多阶段攻击链、提取 IOC,并将发现结果映射到 MITRE ATT&CK 技术 —— 所有操作均可在时尚的暗色主题 GUI 或命令行中完成。 ## ⭐ v3.0.0 新特性 | 功能 | 描述 | | --------------------------- | ------------------------------------------------------------------------------ | | 🖥️ **CLI 模式** | 通过 `--file`, `--json`, `--report`, `--stix` 标志进行完整的命令行分析 | | 🔐 **30+ 新规则** | API 安全, AI/ML 攻击, 区块链, 网络, 零信任类别 | | 🔗 **STIX 2.1 导出** | 将 IOC 导出为 STIX 包以便威胁情报平台共享 | | 📐 **Sigma 规则支持** | 从 `sigma_rules/` 目录加载自定义 YAML 检测规则 | | 🔒 **文件完整性** | 在报告中自动生成分析日志文件的 MD5/SHA256 哈希 | | ⚡ **15 条关联规则** | 5 个新的攻击链检测 (API, AI, MFA, Crypto, MitM) | | 📊 **97 项 MITRE 技术** | 扩展的技术映射与新的战术覆盖 | ## 功能特性 | 功能 | 详情 | | ------------------------- | ----------------------------------------------------------------- | | 🔍 **检测引擎** | 115+ 规则, 300+ 正则模式, 25 个攻击类别 | | 🎯 **MITRE ATT&CK** | 完整的技术映射(追踪 97 项技术) | | ⚡ **关联引擎** | 15 条多信号攻击链规则 | | 🔎 **IOC 提取** | MD5/SHA1/SHA256, IP, URL, 域名, 邮箱, CVE | | 📄 **文件支持** | `.log`, `.txt`, `.evtx` (原生 + python-evtx) | | 💾 **JSON 导出** | 包含 IOC, MITRE, 关联的完整结构化报告 | | 🔗 **STIX 2.1 导出** | 用于威胁情报平台的标准 IOC 包 | | 📐 **Sigma 规则** | 导入基于 YAML 的检测规则 | | 🖥️ **7 标签页 GUI** | 报告, 发现, IP/用户, 时间线, MITRE ATT&CK, IOC, 原始日志 | | ⌨️ **CLI 模式** | 用于自动化和脚本化的无头分析 | | 📊 **威胁评分** | 0–100% 加权严重性评分及关联加成 | | 🔒 **文件完整性** | 分析文件的 MD5/SHA256 哈希验证 | | ⚙️ **零配置** | 仅使用 Python 标准库 (tkinter, re, json, struct) | ## 攻击类别 (25) | # | 类别 | 规则数 | 主要威胁 | | --- | ------------------------ | ----- | -------------------------------------------------------------- | | 1 | 认证 (Authentication) | 10 | 登录失败, 暴力破解, 密码喷洒, 账户创建 | | 2 | 权限提升 | 7 | UAC 绕过, 令牌窃取, SeImpersonate, DLL 劫持 | | 3 | 持久化 | 8 | 计划任务, WMI 订阅, COM 劫持, BITS 任务 | | 4 | 横向移动 | 8 | PsExec, 哈希传递, SMB, WMI, DCOM, SSH | | 5 | 命令与控制 | 9 | Cobalt Strike, DNS 隧道, ICMP 隧道, 域前置 | | 6 | 数据窃取 | 6 | DNS 窃取, 云存储, 隐写术, 剪贴板 | | 7 | 防御规避 | 10 | 日志清除, AMSI 绕过, ETW 绕过, ADS, 混淆 | | 8 | 发现 | 7 | AD 侦察, 网络扫描, BloodHound, 安全软件发现 | | 9 | 凭据访问 | 5 | LSASS 转储, DCSync, SAM 转储, NTDS.dit, Mimikatz | | 10 | Web 攻击 | 11 | SQLi, XSS, XXE, SSRF, RFI, 反序列化, HTTP 走私 | | 11 | 恶意软件 | 8 | 勒索软件, 无文件恶意软件, Webshell, 宏, 下载器 | | 12 | 认证协议攻击 | 3 | Kerberoasting, 黄金/白银票据, NTLM 降级 | | 13 | 云平台攻击 | 2 | 元数据服务滥用, 容器逃逸 | | 14 | 供应链 | 3 | 依赖混淆, 域名仿冒, CI/CD 妥协 | | 15 | IoT/OT 攻击 | 3 | SCADA/ICS, Modbus 漏洞利用, MQTT 异常 | | 16 | 内部威胁 | 4 | 大量文件访问, 非工作时间, 批量下载, USB 窃取 | | 17 | 零日漏洞/利用 | 4 | 漏洞利用包, Shellcode, 堆喷射, ROP 链 | | 18 | 邮件/钓鱼 | 4 | 钓鱼 URL, 宏文档, 伪造发件人, 凭据收割 | | 19 | 挖矿 | 3 | 挖矿池, Stratum 协议, XMRig 检测 | | 20 | **API 安全** ⭐ | 7 | JWT 滥用, GraphQL 注入, BOLA/IDOR, OAuth 盗窃 | | 21 | **AI/ML 攻击** ⭐ | 4 | 提示词注入, 模型投毒, 对抗性输入 | | 22 | **区块链攻击** ⭐ | 4 | 智能合约漏洞利用, 钱包盗窃, 拉地毯, 加货币剪贴板劫持 | | 23 | **网络攻击** ⭐ | 6 | ARP 毒化, DNS 重绑定, BGP 劫持, SSL 剥离 | | 24 | **零信任绕过** ⭐ | 6 | MFA 疲劳攻击, SAML 伪造, Kerberos 委派滥用 | | 25 | **Sigma 规则** ⭐ | ∞ | 基于 YAML 的自定义检测规则 | ## 安装 ``` # Clone 仓库 git clone https://github.com/0xsabry/ThreatScope.git cd ThreatScope # 运行(需要 Python 3.8+,无需 pip install) python 0xSABRY_ThreatScope.py # 可选:安装增强依赖 pip install -r requirements.txt ``` ## 使用方法 ### GUI 模式 (默认) ``` python 0xSABRY_ThreatScope.py ``` 1. **加载日志** — 点击 `📂 Load Log` 并选择一个 `.log`, `.txt`, 或 `.evtx` 文件 2. **分析** — 点击 `🔍 Analyze` — 分析将在后台线程运行 3. **审查** — 切换标签页以查看发现、时间线、MITRE 覆盖范围和 IOC 4. **导出** — 点击 `💾 Export JSON` 或 `🔗 Export STIX` 获取机器可读报告 ### CLI 模式 (无头模式) ``` # 分析并打印文本报告 python 0xSABRY_ThreatScope.py -f server.log --report # 分析并导出 JSON 报告 python 0xSABRY_ThreatScope.py -f data.evtx -j report.json # 导出 IOC 为 STIX 2.1 bundle python 0xSABRY_ThreatScope.py -f log.txt --stix iocs.json # 完整分析及所有导出 python 0xSABRY_ThreatScope.py -f access.log -r -j report.json --stix iocs.json ``` | 标志 | 描述 | | ---------------- | ----------------------------------- | | `-f`, `--file` | 日志文件路径 (CLI 必填) | | `-r`, `--report` | 打印文本报告到标准输出 | | `-j`, `--json` | 导出 JSON 报告到指定路径 | | `--stix` | 导出 STIX 2.1 IOC 包 | ## Sigma 规则支持 将 Sigma 格式的 YAML 文件放入 `sigma_rules/` 以扩展检测能力: ``` title: Suspicious PowerShell Encoded Command level: high tags: - attack.t1059.001 detection: keywords: - "powershell -encodedcommand" - "powershell -w hidden" condition: keywords ``` 规则将在分析过程中自动加载。安装 `pyyaml` 以获取 Sigma 支持: ``` pip install pyyaml ``` ## 项目结构 ``` ThreatScope/ ├── 0xSABRY_ThreatScope.py # Main application (GUI + CLI + Engine) ├── requirements.txt # Optional dependencies ├── sigma_rules/ # Custom Sigma detection rules (YAML) │ └── example_powershell.yml # Example Sigma rule ├── sample_anonymous_report.json # Sample analysis output ├── sample_anyonomus login.evtx # Sample EVTX log for testing ├── CONTRIBUTING.md # Contribution guidelines ├── SECURITY.md # Vulnerability reporting policy ├── LICENSE # MIT License └── README.md # This file ``` ## 关联引擎 (15 条规则) | 链名称 | 所需信号 | 加成 | | ----------------------------- | --------------------------------------------------------- | ----- | | 凭据泄露链 | brute_force + privilege_escalation | +20 | | 完整杀伤链检测 | credential_dumping + lateral_movement + data_exfiltration | +30 | | 勒索软件部署链 | lateral_movement + av_tamper + ransomware | +25 | | 活跃 C2 与数据窃取 | command_and_control + data_exfiltration | +20 | | 持久化与防御规避 | persistence + log_tampering | +15 | | AD 妥协链 | ad_recon + kerberoasting + golden_silver_ticket | +30 | | 钓鱼至凭据窃取 | phishing_url + credential_dumping | +20 | | Web 攻击至 Shell | sql_injection + reverse_shell | +20 | | 供应链与持久化 | dependency_confusion + persistence | +20 | | 内部威胁指标 | off_hours_access + bulk_download | +15 | | **API 攻击链** ⭐ | jwt_abuse + broken_auth_api | +20 | | **AI 系统妥协** ⭐ | prompt_injection + data_extraction_llm | +25 | | **MFA 绕过与横向移动** ⭐ | mfa_fatigue + lateral_movement | +25 | | **加密货币盗窃链** ⭐ | wallet_theft + crypto_clipper | +25 | | **网络 MitM 与凭据** ⭐ | arp_poisoning + credential_dumping | +20 | ## 威胁评分 | 分数 | 等级 | 操作 | | ------ | ----------- | ------------------------------------ | | 80–100 | 危急 🔴 | 需要立即进行事件响应 | | 60–79 | 高危 🟠 | 需要紧急调查 | | 40–59 | 中危 🟡 | 积极监控与审查 | | 20–39 | 低危 🟢 | 记录并跟踪 | | 0–19 | 极低 ⚪ | 继续日常监控 | ## 许可证 MIT 许可证 — 详见 [LICENSE](LICENSE)
0xSABRY 用 ❤️ 打造 — SOC 分析师 & 安全研究员 [![LinkedIn](https://img.shields.io/badge/Connect_on_LinkedIn-0077B5?style=for-the-badge&logo=linkedin&logoColor=white)](https://www.linkedin.com/in/mohamed-sabry-hamdan/) [![GitHub](https://img.shields.io/badge/Follow_on_GitHub-181717?style=for-the-badge&logo=github&logoColor=white)](https://github.com/0xsabry)
标签:AMSI绕过, BurpSuite集成, Cloudflare, EDR, EVTX解析, GUI, HTTP/HTTPS抓包, IOCs提取, MITRE ATT&CK, Python安全工具, Sigma规则, STIX 2.1, ThreatDetection, Windows日志, 威胁情报, 威胁检测, 安全脚本, 安全运营, 库, 应急响应, 开发者工具, 态势感知, 扫描框架, 攻击链分析, 日志智能, 目标导入, 网络安全, 脆弱性评估, 逆向工具, 速率限制, 隐私保护, 零依赖