nikhilsalunkemumbai/thir-live

# THIR — Threat Hunter Intelligence Range 一个实时的蜜罐威胁情报仪表板。一个 Cowrie SSH 蜜罐运行在 AWS EC2 上，每小时向 GitHub Actions 管道输送数据。攻击者会话经过解析、丰富、误报过滤、恶意软件分析，并发布到具有自动 SOC 报告功能的实时仪表板。 **实时链接：** [threats.aegispub.com](https://threats.aegispub.com) ## 架构 ``` AWS EC2 Ubuntu (Cowrie SSH Honeypot — port 2222) │ │ SCP every hour via GitHub Actions ▼ ┌──────────────────────────────────────────────────────────┐ │ GitHub Actions Pipeline │ │ │ │ ── Hourly ──────────────────────────────────────────── │ │ Tool 05 → Honeypot liveness check → data/posture.json │ │ Tool 26 → Parse Cowrie sessions → data/ir_cases.json│ │ Tool 27 → Enrich attacker IPs → data/threat_ips.json│ │ Tool 29 → FP filter → data/fp_filter.json│ │ Tool 30 → Aggregate metrics → data/stats.json │ │ Tool 28 → SOC handover report → data/soc_handover.md│ │ Tool 31 → Malware sample analysis → data/malware_report.json│ │ Tool 32 → Save daily + peak stats → reports/daily/ │ │ Tool 07 → Data integrity check │ │ │ │ ── Monday 00:05 UTC ───────────────────────────────── │ │ Tool 32 --rollup weekly → reports/weekly/ │ │ │ │ ── 1st of month 00:10 UTC ─────────────────────────── │ │ Tool 32 --rollup monthly → reports/monthly/ │ │ │ └──────────────────────────────────────────────────────────┘ │ git push data/ + reports/ ▼ GitHub Pages → threats.aegispub.com ``` ## 管道工具 | # | 工具 | 语言 | 角色 | |---|---|---|---| | 05 | `05_network_monitor_live.go` | Go | Cowrie 端口 2222 上的 TCP 存活检查 | | 26 | `26_incident_timeline_live.py` | Python | 解析 Cowrie NDJSON → 包含 MITRE ATT&CK TTPs 的 IR 案例 | | 27 | `27_threat_intel_feeder_live.go` | Go | 通过 AbuseIPDB + OTX 并发丰富 IP 信息 | | 29 | `29_false_positive_live.py` | Python | 三信号误报过滤器（评分、ISP、行为） | | 30 | `30_metric_exporter_live.go` | Go | 聚合所有管道输出 → 仪表板统计数据 | | 28 | `28_soc_handover_live.py` | Python | 每次运行生成结构化的 SOC 移交报告 | | 31 | `31_malware_analyzer_live.py` | Python | 分析 Cowrie 捕获的文件：魔数、哈希、可疑字符串、可选的 VirusTotal 查询 | | 32 | `32_report_lifecycle.py` | Python | 每日保存、每周/每月汇总、峰值统计跟踪、6 个月保留期清理 | | 07 | `07_file_integrity_live.go` | Go | data/ 文件的 SHA-256 基线验证 | ## 报告生命周期（工具 32） 工具 32 管理分层 SOC 报告保留系统： | 层级 | 触发条件 | 输出 | 保留期 | |---|---|---|---| | **每日** | 每小时管道运行 | `reports/daily/soc_YYYY-MM-DD.md` | 5–7 天 | | **每周** | UTC 时间周一 00:05 | `reports/weekly/soc_week_YYYY-WNN.md` | 3–4 周 | | **每月** | UTC 时间每月 1 日 00:10 | `reports/monthly/soc_YYYY-MM.md` | 最长 6 个月 | 峰值统计（峰值会话、峰值唯一 IP、峰值已确认威胁）作为高水位标记在 `data/stats.json` 中跟踪 — 仅在今日超过当前峰值时更新，绝不会因较为平静的一天而重置。 ## 恶意软件分析（工具 31） 工具 31 分析攻击者通过 Cowrie 蜜罐下载的文件： - **文件类型检测**，通过魔数字节签名（ELF, PE, shell 脚本, 归档文件） - **哈希计算** — 每个样本计算 MD5, SHA1, SHA256 - **ELF 架构检测** — x86, x86-64, ARM, AArch64, MIPS, RISC-V - **可疑字符串扫描** — 30+ 种模式，涵盖下载工具、持久化、凭据访问、C2 指标、加密货币矿工以及破坏性命令 - **VirusTotal 查询**（可选，免费版）— 对 VirusTotal API 进行哈希查询，报告检出率 - **威胁评分** — 0–100 分，映射到 LOW / MEDIUM / HIGH 严重级别 输出：`data/malware_report.json` ## 快速开始 请参阅 **[SETUP.md](SETUP.md)** 获取完整的分步部署指南。 **必需的 GitHub Secrets：** | Secret | 用途 | |---|---| | `ORACLE_VPS_SSH_KEY` | AWS EC2 的 SSH 私钥 | | `ORACLE_VPS_IP` | AWS EC2 公共 IP | | `ABUSEIPDB_API_KEY` | [abuseipdb.com](https://www.abuseipdb.com) 免费密钥 | | `OTX_API_KEY` | [otx.alienvault.com](https://otx.alienvault.com) 免费密钥 | | `VIRUSTOTAL_API_KEY` | *（可选）* [virustotal.com](https://www.virustotal.com) 免费密钥 — 用于工具 31 的恶意软件查询 | ## 仓库结构 ``` thir-live/ ├── .github/workflows/pipeline.yml ← 3 jobs: hourly + weekly + monthly ├── tools/ ← 9 pipeline tools (05, 07, 26–32) ├── data/ ← Written by pipeline each hour │ ├── ir_cases.json │ ├── threat_ips.json │ ├── fp_filter.json │ ├── stats.json │ ├── posture.json │ ├── soc_handover.md │ └── malware_report.json ├── reports/ ← SOC report archive (Tool 32) │ ├── daily/ │ ├── weekly/ │ └── monthly/ ├── css/thir.css ← Dashboard stylesheet ├── js/ ← Dashboard modules │ ├── data.js │ ├── pipeline.js │ ├── render.js │ ├── map.js │ └── main.js ├── index.html ← Live dashboard ├── CNAME ← threats.aegispub.com ├── SETUP.md ← Full deployment guide ├── CONTRIBUTING.md ├── SECURITY.md ├── DISCLAIMER.md └── LICENSE ``` ## 规划路线图 | 优先级 | 功能 | 工具 | |---|---|---| | 高 | 恶意软件样本的 YARA 规则匹配 | 工具 33（计划中） | | 中 | Cowrie 凭证对提取 + 密码分析 | 工具 34（计划中） | | 中 | 用于威胁地图的地理聚类（按 ASN 分组 IP） | 仪表板增强 | | 低 | 针对 HIGH 严重级别案例的 Slack/邮件告警 | 通知层 | | 低 | 每周威胁趋势对比（本周与上周对比） | 工具 32 扩展 | ## 许可证 MIT — 详见 [LICENSE](LICENSE) ## 免责声明 仅限防御性安全研究。请参阅 [DISCLAIMER.md](DISCLAIMER.md)。

标签：AbuseIPDB, ADCS攻击, AWS EC2, CISA项目, DAST, DevSecOps, GitHub Actions, IP富化, SOC报告, SSH蜜罐, TTP映射, Zenmap, 上游代理, 威胁情报, 实时仪表盘, 开发者工具, 开源安全工具, 恶意软件分析, 攻击者会话, 数据可视化, 数据完整性, 日志审计, 网络安全, 网络调试, 自动化, 自动笔记, 蜜罐, 证书利用, 误报过滤, 进程注入, 逆向工具, 逆向工程平台, 防御框架, 隐私保护