ExtSentry/ExtSentry.github.io
GitHub: ExtSentry/ExtSentry.github.io
浏览器扩展威胁情报平台,将社区威胁列表转换为多平台即用型情报源,并提供扩展检测、取证分析、策略生成和补救指南等完整能力。
Stars: 1 | Forks: 0
# ExtSentry
https://extsentry.github.io
**浏览器扩展威胁情报**
ExtSentry 将社区维护的[浏览器扩展威胁列表](https://github.com/mthcht/awesome-lists)转换为适用于 16+ 安全平台的即用型情报源。将您的 SIEM、SOAR 或威胁情报平台指向该输出,即可开始检测恶意、可疑和不受欢迎的浏览器扩展。
此外,还包含浏览器插件安装的补救指南和取证痕迹详情。
## 着陆页
`index.html` 是一个独立的 React 单页应用,作为项目的文档和情报源下载中心。
## 威胁情报源
| 情报源文件 | 平台 / 格式 |
|---|---|
| `stix2_bundle.json` | STIX 2.1 Bundle - OpenCTI, TAXII, 任何 CTI 平台 |
| `misp_event.json` | MISP Event (属性 + 对象) |
| `misp_warninglist.json` | MISP Warning List |
| `sigma_rules_browser_extensions.yml` | Sigma Rules - 进程、文件、注册表 + 按类别 |
| `yara_browser_extensions.yar` | YARA Rules - 按类别 + CRX 哈希匹配 |
| `suricata_browser_extensions.rules` | Suricata IDS Rules (HTTP URI 匹配) |
| `openioc_browser_extensions.ioc` | OpenIOC 1.1 (文件路径 + 注册表) |
| `splunk_lookup_browser_extensions.csv` | Splunk Lookup Table |
| `elastic_detection_rule.ndjson` | Elastic Security Detection Rule (KQL) |
| `elastic_threat_intel.ndjson` | Elastic ECS-compliant Threat Intel docs |
| `sentinel_analytics_rule.kql` | Microsoft Sentinel KQL Analytics Rule |
| `sentinel_watchlist.csv` | Microsoft Sentinel Watchlist CSV |
| `opencti_import.csv` | OpenCTI CSV Connector import |
| `extsentry_ioc_feed.csv` | Enriched CSV (通用) |
| `extsentry_feed.json` | JSON Feed (通用) |
| `ioc_all_extension_ids.txt` | Plain text - 所有 ID,每行一个 |
| `ioc_malicious_extension_ids.txt` | Plain text - 仅恶意 |
| `ioc_suspicious_extension_ids.txt` | Plain text - 仅可疑 |
| `ioc_crx_sha256_hashes.txt` | Plain text - CRX 文件 SHA-256 哈希 |
## 扩展检查器与分析器
- 扩展检查器允许您根据 ExtSentry 情报源查询扩展 ID。“分析权限”标签页接受 manifest.json(或 .crx/.xpi 上传),并为每个权限生成风险评分及 MITRE ATT&CK 技术映射。
- “端点清单”标签页提供了即开即用的脚本(Python、PowerShell、Bash),可扫描系统上的所有用户配置文件,枚举 Chrome、Edge、Brave 和 Firefox 中安装的每个扩展,并将其与实时的 ExtSentry 情报源进行交叉比对。
## 策略生成器
策略生成器为 Chrome(通过 ExtensionInstallBlocklist)、Edge 和 Firefox(ExtensionSettings)创建浏览器扩展黑名单/白名单策略。它可以从恶意情报源自动填充黑名单,并合并自定义 ID。输出的是即贴即用的 JSON 策略或 GPO 兼容配置。
## 取证痕迹指南
痕迹面板是一个全面的取证参考,用于调查 Windows、macOS 和 Linux 上可疑的浏览器扩展。它记录了浏览器在磁盘上存储扩展数据的位置(Preferences、Secure Preferences、extensions.json)、相关的注册表键、进程命令行模式以及日志来源,以确定扩展安装的时间和方式,以及它是用户主动安装的还是通过企业策略推送的。
## 补救指南
补救面板逐步讲解了针对这些恶意浏览器扩展的事件响应流程。
## 贡献
发现了情报源中未包含的恶意或可疑扩展吗?欢迎贡献!上游数据位于 mthcht/awesome-lists 仓库中。
要报告扩展,请在上游 CSV 中打开 pull request,包含以下字段:扩展名称、扩展 ID、通配符模式、类别(恶意软件、受损、诈骗、PUP、PROXY/VPN 等)、威胁类型(恶意、钓鱼、欺骗、冒犯、灰色软件、敏感、隐私、防御规避)、指向文章或来源的参考链接、描述/评论,以及 CRX SHA-256 哈希(如果有)。您也可以使用着陆页上的“+ Contribute extension”按钮,它会预填充 GitHub issue 模板。
如需改进工具(情报源生成器、着陆页、检测规则、清单脚本),请直接在此仓库中提交 issue 或 PR。
## 自动更新
情报源通过 GitHub Actions 每小时重建一次。请参阅 `.github/workflows/generate_feeds.yml` 了解工作流详情。
## 数据来源
所有扩展数据均源自 [mthcht/awesome-lists](https://github.com/mthcht/awesome-lists) —— 一个由社区维护的恶意、可疑和敏感浏览器扩展列表。贡献和修正应提交至上游。
## 许可证
TLP:CLEAR —— 情报源输出可免费使用、共享和集成。
**浏览器扩展威胁情报**
ExtSentry 将社区维护的[浏览器扩展威胁列表](https://github.com/mthcht/awesome-lists)转换为适用于 16+ 安全平台的即用型情报源。将您的 SIEM、SOAR 或威胁情报平台指向该输出,即可开始检测恶意、可疑和不受欢迎的浏览器扩展。
此外,还包含浏览器插件安装的补救指南和取证痕迹详情。
## 着陆页
`index.html` 是一个独立的 React 单页应用,作为项目的文档和情报源下载中心。
## 威胁情报源
| 情报源文件 | 平台 / 格式 |
|---|---|
| `stix2_bundle.json` | STIX 2.1 Bundle - OpenCTI, TAXII, 任何 CTI 平台 |
| `misp_event.json` | MISP Event (属性 + 对象) |
| `misp_warninglist.json` | MISP Warning List |
| `sigma_rules_browser_extensions.yml` | Sigma Rules - 进程、文件、注册表 + 按类别 |
| `yara_browser_extensions.yar` | YARA Rules - 按类别 + CRX 哈希匹配 |
| `suricata_browser_extensions.rules` | Suricata IDS Rules (HTTP URI 匹配) |
| `openioc_browser_extensions.ioc` | OpenIOC 1.1 (文件路径 + 注册表) |
| `splunk_lookup_browser_extensions.csv` | Splunk Lookup Table |
| `elastic_detection_rule.ndjson` | Elastic Security Detection Rule (KQL) |
| `elastic_threat_intel.ndjson` | Elastic ECS-compliant Threat Intel docs |
| `sentinel_analytics_rule.kql` | Microsoft Sentinel KQL Analytics Rule |
| `sentinel_watchlist.csv` | Microsoft Sentinel Watchlist CSV |
| `opencti_import.csv` | OpenCTI CSV Connector import |
| `extsentry_ioc_feed.csv` | Enriched CSV (通用) |
| `extsentry_feed.json` | JSON Feed (通用) |
| `ioc_all_extension_ids.txt` | Plain text - 所有 ID,每行一个 |
| `ioc_malicious_extension_ids.txt` | Plain text - 仅恶意 |
| `ioc_suspicious_extension_ids.txt` | Plain text - 仅可疑 |
| `ioc_crx_sha256_hashes.txt` | Plain text - CRX 文件 SHA-256 哈希 |
## 扩展检查器与分析器
- 扩展检查器允许您根据 ExtSentry 情报源查询扩展 ID。“分析权限”标签页接受 manifest.json(或 .crx/.xpi 上传),并为每个权限生成风险评分及 MITRE ATT&CK 技术映射。
- “端点清单”标签页提供了即开即用的脚本(Python、PowerShell、Bash),可扫描系统上的所有用户配置文件,枚举 Chrome、Edge、Brave 和 Firefox 中安装的每个扩展,并将其与实时的 ExtSentry 情报源进行交叉比对。
## 策略生成器
策略生成器为 Chrome(通过 ExtensionInstallBlocklist)、Edge 和 Firefox(ExtensionSettings)创建浏览器扩展黑名单/白名单策略。它可以从恶意情报源自动填充黑名单,并合并自定义 ID。输出的是即贴即用的 JSON 策略或 GPO 兼容配置。
## 取证痕迹指南
痕迹面板是一个全面的取证参考,用于调查 Windows、macOS 和 Linux 上可疑的浏览器扩展。它记录了浏览器在磁盘上存储扩展数据的位置(Preferences、Secure Preferences、extensions.json)、相关的注册表键、进程命令行模式以及日志来源,以确定扩展安装的时间和方式,以及它是用户主动安装的还是通过企业策略推送的。
## 补救指南
补救面板逐步讲解了针对这些恶意浏览器扩展的事件响应流程。
## 贡献
发现了情报源中未包含的恶意或可疑扩展吗?欢迎贡献!上游数据位于 mthcht/awesome-lists 仓库中。
要报告扩展,请在上游 CSV 中打开 pull request,包含以下字段:扩展名称、扩展 ID、通配符模式、类别(恶意软件、受损、诈骗、PUP、PROXY/VPN 等)、威胁类型(恶意、钓鱼、欺骗、冒犯、灰色软件、敏感、隐私、防御规避)、指向文章或来源的参考链接、描述/评论,以及 CRX SHA-256 哈希(如果有)。您也可以使用着陆页上的“+ Contribute extension”按钮,它会预填充 GitHub issue 模板。
如需改进工具(情报源生成器、着陆页、检测规则、清单脚本),请直接在此仓库中提交 issue 或 PR。
## 自动更新
情报源通过 GitHub Actions 每小时重建一次。请参阅 `.github/workflows/generate_feeds.yml` 了解工作流详情。
## 数据来源
所有扩展数据均源自 [mthcht/awesome-lists](https://github.com/mthcht/awesome-lists) —— 一个由社区维护的恶意、可疑和敏感浏览器扩展列表。贡献和修正应提交至上游。
## 许可证
TLP:CLEAR —— 情报源输出可免费使用、共享和集成。标签:AI合规, CIDR输入, EDR, Elastic Security, IOC Feed, Metaprompt, Microsoft Sentinel, OpenCTI, SOAR, STIX, Suricata, YARA, 云资产可视化, 后端开发, 威胁情报, 库, 应急响应, 应用安全, 开发者工具, 恶意插件检测, 浏览器扩展, 现代安全运营, 脆弱性评估, 逆向工具