jacobdcook/stryker-intune-detection-pack

# Stryker/Intune 检测包 以检测即代码为目标的检测包，旨在发现针对 Microsoft Intune MDM 的滥用行为。其灵感来源于 2026 年 3 月针对 Stryker 公司的攻击事件，在该事件中，威胁行为者 Handala 利用遭到破坏的 Intune 访问权限擦除了 20 万台设备并窃取了 50TB 的数据。 ## 攻击概述 | 字段 | 详情 | |-------|--------| | 目标 | Stryker Corporation（财富 500 强医疗器械公司） | | 威胁行为者 | Handala（亲伊朗黑客主义者） | | 日期 | 2026 年 3 月 11 日 | | 影响 | 20 万台设备被擦除，50TB 数据被窃取 | | 方法 | 滥用 Microsoft Intune MDM 推送大规模设备擦除策略 | | 类型 | 破坏性（无勒索软件/勒索行为） | | 响应 | CISA 发布了端点管理系统加固指南（3 月 18 日） | ## 检测规则 所有规则均使用 [Sigma](https://github.com/SigmaHQ/sigma) 格式（供应商无关的 YAML）并映射到 MITRE ATT&CK。 | 规则 | MITRE 技术 | 数据源 | |------|----------------|-------------| | [intune_mass_device_wipe](rules/intune_mass_device_wipe.yml) | T1485（数据破坏） | Microsoft Graph API 审计日志 | | [intune_policy_change_anomaly](rules/intune_policy_change_anomaly.yml) | T1484.002（域/租户策略修改） | Intune 审计日志 | | [entra_admin_impossible_travel](rules/entra_admin_impossible_travel.yml) | T1078.004（云账户） | Entra ID 登录日志 | | [bulk_compliance_drift](rules/bulk_compliance_drift.yml) | T1485（数据破坏） | Intune 合规性状态事件 | | [volumetric_data_egress](rules/volumetric_data_egress.yml) | T1048（通过替代协议的数据渗出） | 防火墙/代理/NetFlow | | [intune_admin_privilege_escalation](rules/intune_admin_privilege_escalation.yml) | T1098（账户操纵） | Entra ID 审计日志 | ## 可复现验证 本项目中的每一项声明都经过了测试。运行 `pytest tests/test_rules.py -v` 以进行复现。 | 测试证明的内容 | 方式 | |---|---| | 6 条 Sigma 规则包含必填字段（title、logsource、detection、level、tags） | 解析每个 YAML 并断言必填键是否存在 | | 每条规则记录了 3 个良性的误报场景（共 18 个） | 每个良性用例都经过富化检测器运行——必须被抑制 | | 每条规则记录了 3 个恶意攻击场景（共 18 个） | 每个恶意用例都经过富化检测器运行——必须触发告警 | | 在大规模擦除模拟中实现了 100% 的误报率降低 | 使用 `admin_baseline.csv` 查找，由基础规则与富化规则对 100 个合成事件（80 个良性，20 个恶意）进行评分。基础规则对全部 100 个事件都发出告警。富化规则抑制了所有 80 个良性事件，并捕捉到了全部 20 个恶意事件 | | 涵盖了 5 种以上独特的 MITRE ATT&CK 技术 | 提取所有规则的标签并计算不同的 `attack.tXXXX` 条目数量 | **43 项测试，0 次失败。** 富化逻辑模拟了 KV 存储查找（管理员基线、变更工单、VPN 状态、目标信誉）——这与生产环境 Splunk 中使用的方法相同，旨在在不丢失检测覆盖率的前提下减少告警疲劳。 ## 富化 用于基于 Splunk 富化查找的 KV 存储定义： - [asset_info.csv](enrichment/asset_info.csv) - 资产所有权、部门、关键性 - [admin_baseline.csv](enrichment/admin_baseline.csv) - 管理员账户正常行为基线 - [enrichment_guide.md](enrichment/enrichment_guide.md) - KV 存储设置说明 ## 响应 - [intune_abuse_response.md](response/intune_abuse_response.md) - 针对 Intune MDM 滥用的事件响应 playbook ## 杀伤链映射 1. **侦察** - 识别出目标使用 Intune 进行设备管理 2. **武器化** - 开发 Intune 策略滥用工具 3. **投递** - 通过遭到破坏的 Entra ID 管理员凭据进行初始访问 4. **利用** - 获取 Intune 管理员或全局管理员角色 5. **安装** - 向 20 万台受管设备推送恶意的 MDM 擦除策略 6. **命令与控制（C2）** - 使用 Intune 本身作为命令通道（合法的管理工具） 7. **目标行动** - 大规模设备破坏 + 50TB 数据渗出 ## 参考 - [CISA：端点管理系统加固（2026 年 3 月 18 日）](https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-urges-endpoint-management-system-hardening-after-cyberattack-against-us-organization) - [Stryker 客户更新（2026 年 3 月）](https://www.stryker.com/us/en/about/news/2026/a-message-to-our-customers-03-2026.html) - [CNN：亲伊朗黑客声称对 Stryker 攻击负责](https://www.cnn.com/2026/03/11/politics/pro-iran-hackers-cyberattack-medical-device-maker)

标签：AMSI绕过, CCTV/网络接口发现, CISA合规, Cloudflare, Detection-as-Code, DLP, Entra ID安全, GitHub Advanced Security, Graph API安全, IAM, KV Store, MDM滥用, Microsoft Intune, MITRE ATT&CK, Sigma规则, SOC分析, 事件响应Playbook, 医疗行业安全, 威胁检测, 安全剧本, 安全加固, 安全响应, 安全规则引擎, 安全防御, 异常行为检测, 数据外泄, 数据擦除攻击, 数据窃取, 目标导入, 破坏性攻击, 策略篡改检测, 终端安全, 网络安全, 身份与访问管理, 逆向工具, 隐私保护, 零信任安全