Mrwoady-hub/Phantom

GitHub: Mrwoady-hub/Phantom

一款基于 Swift 的原生 macOS 威胁监控平台,提供 MITRE ATT&CK 映射的检测与抗篡改审计日志。

Stars: 1 | Forks: 0

# Phantom

Phantom mark

使用 Swift 构建的原生 macOS 威胁监控。 [![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/0554d1a0cb083508.svg)](https://github.com/Mrwoady-hub/Phantom/actions/workflows/ci.yml) ![Platform](https://img.shields.io/badge/platform-macOS%2013%2B-blue) ![Swift](https://img.shields.io/badge/swift-5.9%2B-orange) ![License](https://img.shields.io/badge/license-MIT-green) ![Phantom dashboard](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/2dece50154083510.png) ![Key capabilities](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/2cf03ed7cd083511.svg) Phantom 是 macOS 上的菜单栏安全监控,专注于实用的本地可见性: - 可疑进程执行 - 外部网络活动 - 持久化变更 - MITRE ATT&CK 映射的发现 - 抗篡改审计日志 它被设计为与 Apple 技术栈原生兼容:Swift、SwiftUI、Security.framework、Keychain 完整性校验,以及较小的运行时占用。 ## 为什么选择 Phantom 大多数 macOS 安全工具要么过重、不透明,要么过于依赖外部服务。Phantom 采取了不同的方法: - 原生 macOS 应用架构 - 无第三方运行时依赖 - 可理解的检测逻辑 - 以安全为先的本地存储 - 具备生产导向结构的专业级代码库 ## 监控范围 | 表面 | 实现 | 示例 | |---|---|---| | 进程 | `ps -axo pid,ppid,user,command` | 伪装、脚本滥用、凭证转储、进程注入 | | 网络 | `lsof -nP -iTCP -iUDP` | 可疑出站连接、C2 风格行为、威胁情报匹配 | | 持久化 | LaunchAgents、LaunchDaemons、登录项、cron、KEXT、应用脚本 | 未签名项、符号链接、用户可写启动点 | ## 扫描流程 ![Phantom scan flow demo](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/7ff327f588083512.gif) ## 安全模型 Phantom 将完整性视为一等公民要求: - 审计事件以哈希链日志形式写入。 - 审计与抑制数据使用 Keychain 保护的密钥进行 HMAC 保护。 - 威胁情报在本地缓存并设置严格的文件权限。 - 检测逻辑优先使用明确的系统行为,而非脆弱的启发式方法。 这不是内核 EDR,而是一个面向可见性、实验和迭代加固的用户空间监控器。 ## 检测覆盖 当前覆盖范围包括: - `T1059` 命令与脚本解释器 - `T1071` 应用层协议 - `T1105` 入站工具传输 - `T1547` 启动或登录自动执行 - `T1003` 操作系统凭证转储 - `T1036` 伪装 - `T1055` 进程注入 - `T1082` 系统信息发现 - `T1562` 防御削弱 ## 架构 当前代码库的核心领域: - `AppModel.swift`:主应用程序状态与操作员动作 - `TelemetryBroker.swift`:传感器编排与超时控制 - `TelemetrySnapshot.swift`:事件生成流水线 - `ProcessMonitor.swift`、`NetworkMonitor.swift`、`PersistenceScanner.swift`:采集层 - `TrustDecision.swift`:签名与信任分类 - `AuditTrailStore.swift`、`SuppressionStore.swift`、`KeychainHMAC.swift`:完整性层 - `ThreatIntelFeed.swift`:本地威胁情报源管理 - `PhantomTests/`:针对审计、检测、风险、MITRE 映射及情报行为的单元测试 ![Architecture at a glance](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/7e963bc8cc083514.svg) ## 系统要求 - macOS 13 或更高版本 - Xcode 15 或更高版本 ## 构建 ``` git clone git@github.com:Mrwoady-hub/Phantom.git cd Phantom open Phantom.xcodeproj ``` 或者从终端构建: ``` xcodebuild -project Phantom.xcodeproj \ -scheme Phantom \ -configuration Debug \ build ``` ## 测试 ``` xcodebuild -project Phantom.xcodeproj \ -scheme PhantomTests \ -destination "platform=macOS" \ test ``` ## 当前状态 Phantom 处于积极开发中。该仓库现已反映产品重命名(从之前的 SentinelGuard 身份)以及当前的 Swift/macOS 应用结构。 近期优先事项: - 特权辅助工具加固 - 更深入的网络遥测 - 发布打包与公证 - 持续降低误报率 ## 路线图 - [ ] 特权辅助工具集成,用于提升采集路径权限 - [ ] 深入探索 Endpoint Security 框架 - [ ] 用户自定义规则调节 - [ ] 签名发布流水线与公证构建 ## 发行说明 当前过渡版本的发行说明在此: ![Phantom v1.1.0 release banner](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/5806e23a3d083515.svg) - [v1.1.0 发行说明](RELEASE_NOTES_v1.1.0.md) ## 许可证 [MIT](LICENSE)
标签:AMSI绕过, C2通信检测, cron持久化, KEXT持久化, Keychain完整性校验, LaunchAgents持久化, LaunchDaemons持久化, macOS安全监控, MITRE ATT&CK映射, Security.framework, SEO: macOS威胁检测, SEO: Swift安全工具, SEO: 本地EDR, Swift, SwiftUI, 凭证转储检测, 原生macOS应用, 可疑网络连接, 威胁检测, 安全存储, 应用脚本持久化, 持久化变更检测, 操作系统检测, 数据统计, 无第三方依赖, 本地可见性, 生产级代码库, 登录项持久化, 端口扫描, 篡改证据审计日志, 网络行为监控, 菜单栏安全监控, 进程注入检测