cyberlandji/operation-pcap-autopsy

# 行动 PCAP 尸检 — 检测规则开发      基于真实世界恶意网络流量编写、验证和记录的检测规则。每次行动都会获取包含实际恶意软件活动的 PCAP，重构攻击链，并生成**经过测试的 Suricata 规则**，同时提供针对原始流量触发告警的证明。 **作者：** [cyberlandji.com](https://cyberlandji.com) — [GitHub](https://github.com/cyberlandji) ## 方法论 ``` Investigate → Identify detectable behavior → Write rules → Replay PCAP → Validate → Document ``` 本仓库中的每一条规则都已通过 Suricata 使用 `-S` 标志（仅自定义规则，无默认规则集）进行离线 PCAP 重放验证。如果规则在本仓库中，它就会触发。每次行动都包含验证证据。 ## 行动列表 | 行动 | 恶意软件 | 规则 | 引擎 | 状态 | |-----------|---------|-------|--------|--------| | [PA-01](PA-01_you-dirty-rat/) | STRRAT (Java RAT) | 3 Suricata | Suricata 8.0.3 | ✅ 已验证 | ## 仓库结构 ``` operation-pcap-autopsy/ ├── README.md ← You are here ├── PA-01_you-dirty-rat/ │ ├── README.md ← Detection-focused write-up │ ├── rules/ │ │ └── PA-01.rules ← Validated Suricata rules │ ├── validation/ │ │ ├── PA-01_validation-notes.md ← Testing methodology + debugging arc │ │ └── screenshots/ ← Proof of rule firing │ ├── iocs/ │ │ └── PA-01_IOCs.csv ← Structured IOC export │ └── lessons-learned.md ← Walkthrough comparison + corrections ├── PA-02_.../ │ └── ... └── templates/ └── ... ``` 每次行动会产生： - 已验证的检测规则（Suricata，适当时包括 Sigma） - PCAP 重放验证证据 - 结构化的 IOC 列表 - MITRE ATT&CK 映射 - 源于对比分析的教训 ## PCAP 来源 PCAP **从未上传**到本仓库。来源链接在各次行动的 README 中。 - 主要来源：[malware-traffic-analysis.net](https://www.malware-traffic-analysis.net/) - 次要来源：[CyberDefenders](https://cyberdefenders.org/) ## 工具 | 工具 | 用途 | |------|---------| | Wireshark / tshark | 流量分析、流重组、TLS 指纹识别 | | Suricata | 检测规则引擎，用于验证的离线 PCAP 重放 | | CyberChef | 数据解码（Base64、hex、XOR） | | VirusTotal | IOC 丰富化和信誉检查 | | Zui / Brim | 结合 IDS 签名匹配的快速分类 | ## 关于 我设计、构建并验证检测系统——从架构到告警。本仓库通过真实世界的网络取证展示检测规则的开发。 其他项目： - [Operation Iron Watch](https://github.com/cyberlandji/operation-iron-watch) — SOC 检测流水线 (Suricata + Graylog SIEM) - [cyberlandji.com](https://cyberlandji.com) — 作品集

标签：AMSI绕过, DLL注入, HTTP工具, IDS规则, IP 地址批量处理, Java恶意软件, Metaprompt, PCAP分析, RAT, STRRAT, Suricata, Wireshark, 句柄查看, 威胁检测, 安全运营, 扫描框架, 攻击链重建, 流量审计, 现代安全运营, 网络安全, 网络安全审计, 规则开发, 隐私保护