anpa1200/CTI
GitHub: anpa1200/CTI
开源网络威胁情报报告合集,提供证据标注的APT分析、SOC操作指导及离线可用的PDF和HTML格式。
Stars: 1 | Forks: 0
# CTI — 网络威胁情报
**标注证据的威胁报告、面向 SOC 的指导以及防御性研究。**
由 [Andrey Pautov](https://medium.com/@1200km) 提供的开源 CTI。
[](https://medium.com/@1200km)
## 仓库内容
长篇 CTI 文章的结构化、引用链接版本:包含目录的 **PDF** 和 **HTML**,带有有效的参考链接 `[R1]`–`[Rx]` 以及原始图表。每份报告都独立存放在自己的目录中,可用于 SOC Playbook、狩猎 和培训。
- **以防御者为中心:** 优先考虑可操作的指导、检测思路和控制措施映射。
- **标注证据:** 主张带有标签(Observed / Reported / Assessed / Claimed)和来源参考。
- **离线友好:** PDF 和 HTML 不依赖 Medium 或外部链接即可阅读正文内容。
## 报告
| 报告 | 范围 | 格式 |
|--------|--------|--------|
| [**Handala Hack Group**](handala-hack-group/) | Handala Hack Team / Void Manticore。标注证据的评估和 SOC 指导。2023 年 12 月 – 2026 年 3 月。 | [PDF](handala-hack-group/cti-research-handala-hack-group-with-nav.pdf) · [HTML](handala-hack-group/cti-research-handala-hack-group.html) · [Medium →](https://medium.com/@1200km/cti-research-handala-hack-group-aka-handala-hack-team-ddbdd294cfb8) |
| [**Sandworm / APT44**](sandworm-apt44/) | GRU GTsST (Sandworm)。标注证据的评估和 SOC 指导。2009 – 2026 年 3 月。 | [PDF](sandworm-apt44/cti-research-sandworm-apt44-with-nav.pdf) · [HTML](sandworm-apt44/cti-research-sandworm-apt44.html) · [Medium →](https://medium.com/@1200km/cti-research-sandworm-apt44-649332e8af44) |
| [**MuddyWater / Seedworm**](muddywater-seedworm/) | 伊朗 MOIS 关联的 MuddyWater 集群。标注证据的评估和 SOC 指导。2017 – 2026 年 3 月。 | [PDF](muddywater-seedworm/cti-research-muddywater-seedworm-with-nav.pdf) · [HTML](muddywater-seedworm/cti-research-muddywater-seedworm.html) · [主要来源 →](https://www.cisa.gov/uscert/ncas/alerts/aa22-055a) |
*更多报告(恶意软件分析、工具分析、IOC)将添加到单独的目录中。*
- **模板:** 使用 **[template/](template/)** 以相同的结构(README、IOC、大纲、可选构建脚本)开始新报告。
## 仓库结构
```
CTI/
├── README.md # This file
├── template/ # Universal research template (see below)
│ ├── README.md # How to use the template
│ ├── REPORT-README.tpl.md # Report directory README template
│ ├── IOCs.tpl.md # IOC document template
│ ├── REPORT-OUTLINE.md # Section outline for the long-form article
│ └── extract_figures.sh.tpl
├── handala-hack-group/ # One directory per report
│ ├── README.md, IOCs.md
│ ├── *.pdf, *.html
│ └── assets/ # Figures (optional; gitignored)
├── sandworm-apt44/
│ ├── README.md, IOCs.md
│ ├── *.pdf, *.html
│ └── assets/
└── muddywater-seedworm/
├── README.md, IOCs.md
├── *.pdf, *.html
└── assets/
```
- **PDF:** 包含目录、可点击的 `[R1]`…`[Rx]` 参考文献链接,以及可用情况下的原始图表。
- **HTML:** 内容相同;便于搜索、复制粘贴和重新打印为 PDF。
- **assets/:** 从来源提取的图表;在(重新)构建报告时使用。
## 作者与来源
- **作者:** [Andrey Pautov](https://medium.com/@1200km)
- **长篇文章:** [Medium @1200km](https://medium.com/@1200km)
- 此处的报告是这些文章的结构化、引用链接版本(证据截止日期和范围在每份报告中注明)。
## 添加新报告
使用 **[template](template/)** 以保持结构一致:
1. 将 **`template/`** 中的文件复制到新目录(例如 `my-actor-name/`)。
2. 重命名并填充 `REPORT-README.tpl.md` 中的占位符 → 另存为 `README.md`;对 `IOCs.tpl.md` → `IOCs.md` 执行相同操作。
3. 添加您的报告 **PDF** 和 **HTML**(如果您有图表,请添加 `assets/`;有关构建工作流程,请参阅模板和现有报告)。
4. 在上方的 **报告** 表格中添加一行,包含指向报告和来源的链接。
有关占位符、命名约定和可选构建步骤,请参阅 **[template/README.md](template/README.md)**。
## 免责声明
- **用途:** 仅用于防御和研究。不得用于攻击。
- **IOC/样本:** 请根据您的安全策略进行处理;在生产环境使用前进行验证。
- **归属:** 观点和评估属于作者;来源在每份报告中均有引用。
## 许可证
按报告单独授权。有关使用条款,请参阅每份报告的 README 和原始来源(例如 Medium)。
标签:APT44, APT攻击, Cutter, ESC4, Handala Hack, Medium, MuddyWater, OSINT, PDF报告, Sandworm, 后端开发, 多模态安全, 威胁情报, 威胁组织, 安全指南, 库, 应急响应, 开发者工具, 攻击溯源, 网络安全, 证据标记, 防御加固, 防御研究, 隐私保护