vglg2024/Threat-Hunting-Assistant

# 🛡 威胁搜寻助手 (THA) [](https://python.org) [](https://elearnsecurity.com) [](https://attack.mitre.org) []() THA 是一个模块化、以分析师为中心的平台，指导防御者完成完整的威胁狩猎生命周期 —— 从原始证据到结构化假设、MITRE ATT&CK 映射以及完善的 SOC 就绪报告。该平台基于 eCTHP 方法论构建，通过统一、可重复的系统取代了碎片化、手动的工作流程。 ## 🎯 用途 THA 执行完整的 eCTHP 狩猎周期： | 步骤 | 描述 | THA 模块 | |------|-------------|------------| | 1 | 规划与范围界定 | `tha_core.py` — Session 管理 | | 2 | 证据收集 | `tha_pcap.py` + `tha_logs.py` | | 3 | 网络协议分析 | `tha_icmp.py`, `tha_dns.py`, `tha_dhcp.py`, `tha_http.py` | | 4 | IOC & 威胁情报 | `tha_ioc.py` — 关联引擎 | | 5 | 假设开发 | `tha_hypothesis.py` — MITRE 映射 | | 6 | 验证 | GUI 分析师备注 + 证据表 | | 7 | 文档记录 | `tha_report.py` — HTML/PDF 输出 | ## 🧩 核心功能 ### 🌐 网络分析引擎 (v1.5) **网络摘要 (NetworkMiner 风格)** - 被动主机发现 —— 从 PCAP 构建完整的资产清单 - 服务和角色识别（DNS 服务器、DHCP 服务器、Web 服务器、工作站） - 按流量体积累计的主要通信主机 (Top talkers) - 明文协议检测（Telnet, FTP, SMTP, SNMP） - 内部到内部的横向移动检测（RDP, SMB, WinRM, SSH） **ICMP 分析** - ICMP 洪水检测（100+ 包/窗口） - 大 payload 检测 —— ICMP 隧道（PTunnel, ICMPTX） - 有响应无请求异常 —— 伪造/反射流量 - 异常 ICMP 类型代码 —— OS 指纹识别和侦察 - 双向隧道模式检测（一致的 payload 大小） **DNS 分析** - NXDomain 洪水检测 —— DGA 指标（恶意软件轮换 C2 域名） - 通过 Shannon 熵分析进行域名生成算法 (DGA) 检测 - 通过子域名编码进行 DNS 渗透 —— 数据被分块到查询中 - 高频 DNS 查询 —— C2 保活/信标 (beaconing) - DNS over TCP（端口 53）—— Iodine, dnscat2 隧道指标 - 非标准解析器检测 —— 恶意软件绕过企业 DNS - TXT/ANY 记录类型滥用 —— DNS 隧道工具特征 **DHCP 分析** - 流氓 DHCP 服务器检测 —— 中间人攻击前兆 - DHCP 饥饿攻击检测 —— 伪造 MAC 池耗尽 - 无 Discover 的 DHCP Offer —— 重放攻击或流氓服务器指标 **HTTP / C2 Beaconing** - 使用变异系数进行信标间隔分析 - Cobalt Strike 默认间隔检测（60s） - Cobalt Strike 可变 C2 URI 模式匹配 - 可疑 User-Agent 检测（Python, curl, Go, PowerShell, Empire） - 大型 HTTP POST 渗透检测 - 可疑 HTTP 方法检测（CONNECT, TRACE, TRACK） - 高频连接分析 ### 📋 多格式日志分类 - **Windows**: JSON 事件, CSV 导出, Sysmon XML - **Linux**: Syslog, auth.log, cron 异常 - LOLBin 执行检测（certutil, mshta, rundll32 等） - 可疑命令行模式匹配（20+ 检测规则） - 暴力破解/失败登录聚合 - Windows 安全事件 ID 覆盖（4624, 4648, 4698, 7045, 1102 等） ### 🔍 IOC 关联引擎 - 从 CSV 或 JSON 加载威胁情报（兼容 MISP） - Artifact 提取：IP, 域名, 哈希, URL, CVE, 邮箱 - 私有 IP 和良性域名过滤 - 自动交叉引用和严重性标记 ### 💡 假设生成器 - 针对每个发现自动生成结构化、符合 eCTHP 标准的假设 - 将所有证据映射到 MITRE ATT&CK 技术和战术 - 综合生成通俗易懂的敌方杀伤链叙述 - 按严重性排序的假设输出（严重 → 低） ### 📄 SOC 就绪报告生成器 - 深色主题 HTML 报告，包含完整证据表 - 通过 WeasyPrint 导出 PDF - 执行摘要、敌方叙述、MITRE 覆盖图、IOC 表 - 专为客户交付、面试和作品集展示设计 ## 🏗️ 架构 ``` THA/ ├── tha_gui.py # Main Tkinter GUI ├── tha_core.py # Session management & orchestration │ ├── tha_pcap.py # PCAP orchestration engine (v1.5) ├── tha_netsummary.py # Passive asset discovery — NetworkMiner style ├── tha_icmp.py # ICMP tunnel/flood/anomaly detection ├── tha_dns.py # DNS exfiltration, DGA, tunneling detection ├── tha_dhcp.py # Rogue DHCP server, starvation detection ├── tha_http.py # C2 beaconing, Cobalt Strike, UA detection │ ├── tha_logs.py # Log parsing (JSON, CSV, Sysmon, Linux) ├── tha_ioc.py # IOC correlation engine ├── tha_hypothesis.py # Hypothesis generation & MITRE mapping ├── tha_report.py # HTML/PDF report builder │ ├── samples/ │ └── sample_iocs.csv # Sample threat-intel IOC database │ └── output/ # Generated reports and saved sessions ``` ## 🚀 快速开始 ### 需求 - Python 3.10+ - Npcap (Windows) — PCAP 分析必需：[npcap.com](https://npcap.com) ``` pip install -r requirements.txt pip install scapy # PCAP analysis pip install weasyprint # PDF export (optional) ``` ### 运行 THA ``` python tha_gui.py ``` 1. 设置你的 **狩猎名称** 和 **分析师名称** 2. 加载证据文件：PCAP, 日志（JSON/CSV/XML/log）, IOC 数据库 3. 点击 **▶ Run Full Analysis** 4. 在 **Network**, **Logs**, 和 **IOCs** 标签页中查看结果 5. 点击 **💡 Generate Hypotheses** 生成 MITRE 映射输出 6. 导出你的 **HTML** 或 **PDF** 报告 ## 📄 报告输出 每次狩猎都会生成一份 SOC 就绪报告，包括： - 带有风险严重等级的 **执行摘要** - **敌方叙述** —— 通俗易懂的杀伤链描述 - **狩猎假设** —— 按严重性排序，有证据支持 - **MITRE ATT&CK 覆盖图** —— 观察到的技术和战术 - **IOC 匹配表** —— 带归因的匹配指标 - **网络与日志发现** —— 详细的证据表 - **分析师备注** —— 你的手动观察记录 ## 🎓 eCTHP 认证对标 THA 基于 **eCTHP (eLearnSecurity Certified Threat Hunting Professional)** 方法论构建： - 结构化的假设驱动狩猎方法 - 基于证据的 MITRE ATT&CK 映射 - 协议级网络异常检测 - 专业的狩猎报告生成 - 真实世界的 PCAP, Sysmon, 和 Windows 事件日志分析 - IOC 威胁情报集成 ## 📦 路线图 | 版本 | 状态 | 亮点 | |---------|--------|------------| | **v1.0** | ✅ 已发布 | 日志分析, IOC 关联, MITRE 映射, 狩猎报告 | | **v1.5** | ✅ 已发布 | 网络狩猎 — ICMP, DNS, DHCP, HTTP, C2 信标检测 | | **v2.0** | 🔲 计划中 | 云日志摄取, Sigma 规则, 行为评分, 时间线重建, VirusTotal/OTX 富化 | | **v3.0** | 🔲 计划中 | 基于 Web 的 SaaS 界面, 多分析师协作, SOAR 集成, 执行仪表板 | ## 🔗 蓝队工具套件 THA 是蓝队工具大型作品集的一部分： | 工具 | 认证对标 | 用途 | |------|---------------|---------| | **THA** — Threat Hunting Assistant | eCTHP | 网络与日志分析, IOC 关联, 狩猎报告 | | **MTA** — Malware Triage Assistant | ECIH | 静态恶意软件分析, PE 检查, 分类报告 | | **RCA** — RMF Control Assessment Assistant | CASP+ / Security+ | RMF 评估, POA&M, ST&E, ACAS 分类 | ## 📜 许可证 Creative Commons Attribution-NonCommercial 4.0 — 仅供个人和教育用途免费使用。需注明出处。 *由蓝队成员构建，为蓝队成员服务。*

标签：AES-256, Cloudflare, eCTHP, HTTP工具, ICMP隐蔽通道, IOC检测, IP 地址批量处理, MITRE ATT&CK, PCAP分析, PE 加载器, Python安全工具, SOC分析平台, 占用监测, 安全报告生成, 安全运营中心, 攻击溯源, 无线安全, 横向移动检测, 漏洞评估, 结构化查询, 网络协议分析, 网络安全审计, 网络映射, 网络流量分析, 自动化安全, 资产管理, 逆向工具, 防御绕过