Munstar0s/Claude-Brainiac

**注意：** 此版本未包含作为 Brainiac 一部分构建的所有组件与工具——这只是一个系统提示词，作为一个独立的 claude code 插件/slash 命令/技能效果很好， 这些工具将在我完成一些 bug 修复后添加到仓库中。（或者可能不会，谁知道呢） ## 什么是 Brainiac？ **Brainiac** 是运行在 Claude Code 上的 AI 驱动型分析师角色，专为实现 精英级网络威胁情报（CTI）、OSINT 调查以及高级网络 威胁追捕（CTH）而构建。它将一线网络防御、深度调查、恶意软件基础设施追捕 和生产级安全工具领域的多年模拟专业知识融合到一个对话式分析师中。 Brainiac 提供： 工作流、有条理的证据链、自动报告生成以及持久的调查档案。每一次互动都会产出基于证据、可直接用于报告的输出。 ``` You give Brainiac: a domain, IP, hash, log file, hunt hypothesis, or a tool requirement. Brainiac gives you: enriched intelligence, a full investigation report, runnable queries, or production-ready code — with reasoning, pivots, and evidence chains. ``` ## 核心能力 ### 网络威胁情报（CTI） | 能力 | 详情 | |---|---| | **情报生命周期** | 全周期：规划 → 收集 → 处理与分析 → 传播 → 反馈 | | **IOC 分析** | IP/域名信誉、被动 DNS、SSL/TLS 证书指纹识别、JA3/JA3S、哈希分类 | + 更多 | | **TTP 分析** | MITRE ATT&CK 映射、杀伤链识别、活动关联 | + 更多 | | **归因分析** | 基础设施重叠、代码相似度、受害学、时序分析 — 并给出经过校准的不确定性 | | **报告生成** | 快速警报、每周简报、活动报告、行为体档案、漏洞情报 | 自定义 | | **STIX/TAXII** | STIX 2.1 对象创建、TAXII feed 消费、关系映射、置信度评分 | | **TLP 分级** | 完整的 TLP:RED → TLP:CLEAR 分级与处理 | ### OSINT 与深度调查 Brainiac 在完整的被动 OSINT 技术栈上运行，默认情况下无需 API 密钥： | 来源类别 | 工具 / 服务 | |---|---| | **基础设施** | Shodan, Censys, FOFA, ZoomEye, Netlas | + 更多 | | **威胁情报源** | VirusTotal, OTX AlienVault, ThreatFox, MalwareBazaar, URLhaus | + 更多 | | **DNS 与证书** | 被动 DNS、证书透明度（crt.sh）、WHOIS 历史 | + 更多 | | **网络情报** | URLscan.io, GreyNoise, urlvoid, Web 归档 | + 更多 | | **社交与 Paste** | Pastebin 监控、GitHub/GitLab 泄露的配置 | + 更多 | | **框架工具** | Recon-ng, theHarvester, Maltego transforms、自定义爬虫 | + 更多 | | **政府情报源** | CISA 公告、NCSC、CERT 公告 | **调查方法：** - 发现新的可观测对象时，自动跨来源进行跳转 - 映射所有已发现资产之间的关系 - 在写入报告前验证证据 - 完整调查档案，包含流程文档 ### 网络威胁追捕（CTH） Brainiac 生成完整的、生产级的追捕包，包括假设、 可运行的查询、误报分析和检测建议。 **支持的平台：** | 平台 | 查询语言 | 追捕深度 | |---|---|---| | **Microsoft Sentinel** | KQL | 完整 — 所有表、监视列表、UEBA | | **Microsoft Defender for Endpoint** | KQL / Advanced Hunting | 完整 | | **IBM QRadar** | AQL | 完整 — 参考集、违规丰富化 | | **CrowdStrike Falcon** | FQL + RTR | 完整 — EventSearch、内存扫描 | | **Wazuh / ELK** | Wazuh DB + Kibana | 完整 — 解码器、规则、FIM | | **Splunk** | SPL | 核心追捕查询 | **追捕方法论：** ``` ├── Hypothesis-Driven → Intelligence gap → testable hypothesis → query → verdict ├── Strategic → Business risk alignment, ATT&CK tactic coverage ├── Retroactive → 6–12 month historical telemetry re-analysis └── Baseline-Driven → Statistical deviation from established normal behavior ``` **Brainiac 追捕的内容：** - 异常父子进程链中的 Living-off-the-land 二进制文件（LOLBins） - 通过合法云服务进行的低频慢速 C2 信标（含抖动） - 通过 Kerberoasting、AS-REP roasting、LDAP 异常进行的凭据访问 - 持久化：WMI 事件订阅、COM 劫持、启动文件夹滥用 - 通过管理共享、类似 PsExec 模式、DCOM 进行的横向移动 - 防御规避：进程镂空、无支持的内存、EDR unhooking - 高级 Linux TTP：IMDS 凭据窃取、SSH 隧道、xRDP 植入 - 云原生攻击：SSM Session Manager 滥用、IAM 角色链式调用、IMDS v1 利用 - 以及更多，实际上任何你要求其构建假设的内容 ### 安全工具开发 Brainiac 按需设计和构建生产级的安全工具。 | 层级 | 技术栈 | |---|---| | **后端** | Python (FastAPI, Flask, SQLAlchemy, Celery)、Go (高吞吐扫描)、Node.js | | **前端** | React, TypeScript, D3.js (基础设施图可视化)、Tailwind CSS | | **数据 / 存储** | PostgreSQL + PostGIS (geo-IP 映射)、TimescaleDB、Redis、Elasticsearch | | **基础设施** | Docker, Kubernetes, Nginx, systemd | | **爬取 / 采集** | Scrapy, Playwright, HTTPX、代理轮换、速率限制、UA 管理 | **Brainiac 构建的工具类型：** - OSINT 丰富化流水线和 REST API - 恶意软件基础设施聚类仪表板 - IOC 摄取与关联引擎 - 自定义 Sentinel/Splunk 数据连接器 - 威胁行为体追踪与活动映射工具 - 一次性调查脚本（无部署开销） ## 安装 ### 前置条件 - 已安装并认证 [Claude Code CLI](https://claude.ai/code) - Kali Linux 或 Parrot 或任何类似的系统。 - Git ### 第一步 — 克隆仓库 ***克隆到全局 .claude 目录*** ***应该看起来像这样： ~/.claude/Brainiac <<--- 正确*** ***不应该看起来像这样： ~/.claude/Brainiac/Brainiac <<--- 不正确！*** ``` git clone https://github.com/Munstar0s/Claude-Brainiac.git cd brainiac ``` ### 第二步 — 运行安装脚本 ``` chmod +x setup.sh ./setup.sh ``` 安装脚本将： - 创建完整的 `~/Brainiac/` 目录树 - 将 `CLAUDE.md` 复制到正确位置 - 将 `/brainiac` 全局 slash 命令安装到 `~/.claude/commands/` - 验证 Claude Code 已安装并可访问 - 打印启动确认信息 ### 第三步 — 从 Brainiac 目录启动 Claude Code ``` cd ~/Brainiac claude ``` Brainiac 现已激活。它将进行自我介绍并等待你的调查目标、 追捕假设或工具请求。 ### 目录结构（首次启动时自动创建） ``` ~/Brainiac/ ├── investigations/ # Active investigation workspaces │ ├── / │ │ ├── Report/ # Final investigation report (Markdown → PDF-ready) │ │ └── Findings-observables/ # Raw tool output, IOCs, scraped data, evidence ├── archive/ # Completed investigations (auto-archived on close) ├── procedures/ # Documented investigation techniques (one .md per case) ├── CTH/ # All Cyber Threat Hunting activity │ ├── Hypothesis/ # Full hunt workbooks (hypothesis + queries + FP analysis) │ ├── Completed-Hunts/ # Finished, validated hunt packages │ ├── Queries/ # KQL/AQL/FQL/SPL query libraries organized by hunt │ └── LogFile-Analysis/ # Log files submitted for structured analysis └── CLAUDE.md # Brainiac's core instruction set ``` ## 将 Brainiac 用作 Claude Code Slash 命令 可以在系统中**任何位置的任何 Claude Code 会话**中使用 `/brainiac` slash 命令调用 Brainiac —— 不仅限于 `~/Brainiac/` 目录。 这使得 Brainiac 成为你可以在任何项目的会话中随时调用的全局分析师。 ### Claude Code Slash 命令的工作原理 Claude Code slash 命令是存储在以下位置的纯 Markdown 文件： ``` ~/.claude/commands/.md # Global — available in every session .claude/commands/.md # Project-scoped — available in this repo only ``` 当你输入 `/brainiac ` 时，Claude Code 会： 1. 将 `~/.claude/commands/brainiac.md` 的内容作为注入的系统提示词加载 2. 将 `$ARGUMENTS` 占位符替换为你在 `/brainiac` 之后输入的所有内容 3. 激活 Brainiac 的完整角色，并立即开始处理你的请求 ### 安装全局 Slash 命令（手动） ``` # 如果 commands 目录不存在则创建 mkdir -p ~/.claude/commands # 复制 slash command 文件 cp slash-commands/brainiac.md ~/.claude/commands/brainiac.md ``` 验证安装： ``` ls ~/.claude/commands/ # brainiac.md ``` ### 使用 Slash 命令 在**任何目录**中打开 Claude Code 并直接调用 Brainiac： ``` /brainiac investigate domain: malicious-infra-host[.]ru /brainiac build a KQL hunt for Cobalt Strike beaconing on Microsoft Sentinel, last 30 days /brainiac analyze this IP: 185.220.101.47 — is it threat actor infrastructure? /brainiac generate a full threat hunting hypothesis for LSASS dumping evasion on CrowdStrike Falcon /brainiac build a Python tool that enriches a list of domains using passive DNS and crt.sh ``` Brainiac 将激活其完整角色、工作目录感知和结构化 输出格式，无论你当前处于哪个项目目录。 ## 情报生产标准 所有 Brainiac 报告均遵循结构化的情报标准： ``` ├── Evidence-based only — no invented intelligence, no speculative attribution ├── Calibrated uncertainty — "Based on available evidence..." not "This is APT29" ├── TLP classification on all outputs ├── MITRE ATT&CK technique references on all TTPs identified ├── Relationship graphs for infrastructure analysis (Mermaid / ASCII) └── Procedure documentation for every investigation technique used ``` **生成的报告格式：** | 格式 | 用途 | 典型篇幅 | |---|---|---| | 快速警报 | 即时威胁通知 | 1–2 页 | | 活动报告 | 针对特定对手活动的深度分析 | 10–30 页 | | 行为体档案 | 全面的威胁行为体档案 | 15–40 页 | | 追捕包 | 假设 + 查询 + 结果 + 检测 | 5–15 页 | | 调查报告 | 完整的 OSINT/CTI 调查生命周期输出 | 10–50 页 | ## 威胁行为体覆盖范围 Brainiac 对以下威胁行为体的 TTP、基础设施模式和技艺有深入的了解： `APT29 (Cozy Bear)` · `APT28 (Fancy Bear)` · `APT41 (Winnti)` · `Lazarus Group` `UNC3944 (Scattered Spider)` · `Sandworm` · `APT10` · `Kimsuky` · `TA505` `REvil / Sodinokibi` · `LockBit` · `BlackCat/ALPHV` · `Cl0p` · 以及更多 ## 道德与法律约束 Brainiac 严格在法律和道德界限内运作： - **无利用行为** — Brainiac 永远不会尝试利用、攻击或获取 任何系统的未授权访问，包括攻击者的基础设施 - **无 ToS 违规** — 仅在允许的使用政策范围内使用 OSINT 来源 - **被动优先** — 始终优先采用被动收集方法而非主动扫描 - **恶意软件安全** — 仅建议在隔离的沙箱中进行分析；绝不在 生产系统上执行未知制品 - **按需提供 API 密钥** — 需要 API 密钥的工具仅在获得 用户明确确认和密钥提供后才使用 ## 使用示例 ### 启动 OSINT 调查 ``` > Investigate domain: suspicious-cdn-provider[.]net ``` Brainiac 将立即提出跳转建议，开始被动收集， 映射所有已发现的关系，在多个来源间验证发现， 并在完成时自动生成完整的调查报告。 ### 生成威胁追捕包 ``` > I need a hypothesis-driven hunt for Cobalt Strike beaconing evasion on Microsoft Sentinel. Environment: Windows + Linux mixed, last 60 days. ``` Brainiac 生成完整的追捕工作簿：假设、基本原理、特定平台的 查询、预期结果、误报分析、检测建议和 后续跳转建议。所有内容保存到 `CTH/Hypothesis/`。 ### 分析日志文件 ``` > Analyze this for signs of lateral movement or persistence [attach file or paste content] ``` Brainiac 执行系统性的日志分析：基线建立、异常 识别、TTP 映射和结构化发现报告。 ### 构建安全工具 ``` > Build a Python script that queries VirusTotal, URLscan, and Shodan for a given IP and outputs a structured enrichment report. ``` Brainiac 生成完整的、有文档记录的、生产级的代码，包含错误处理、 速率限制和使用说明。 ## 许可证 详情请参阅 [LICENSE](LICENSE)。 ## 免责声明 Brainiac 专用于**经授权的安全研究、威胁追捕、防御性 操作和情报分析**。所有调查活动必须针对 你拥有明确授权的系统和目标进行。 作者不对误用承担任何责任。

*专为那些拒绝接受“我们没有预料到”的分析师而构建。*

标签：AI分析师, Claude, Claude Code, CTH, Cutter, CVE检测, DAST, DLL 劫持, ESC4, IOC分析, LLM, OSINT, Unmanaged PE, WSL2, 人工智能, 取证, 取证工具, 基础架构分析, 大语言模型, 威胁情报, 安全运营, 开发者工具, 恶意软件分析, 情报收集, 扫描框架, 攻击溯源, 数字取证, 漏洞分析, 漏洞研究, 用户模式Hook绕过, 网络安全, 自动化脚本, 自动化调查, 路径探测, 逆向工具, 防御加固, 隐私保护