Aura-God/CrimsonPhoenix-APT-Analysis
GitHub: Aura-God/CrimsonPhoenix-APT-Analysis
这是一个集成 MITRE ATT&CK 的 APT 攻击活动分析与蓝队演练平台,用于映射杀伤链、提供检测指导以及运行结构化训练场景。
Stars: 0 | Forks: 0
# Crimson Phoenix — APT 攻击活动分析与蓝队演练平台
用于分析 APT 组织 TTP、映射杀伤链覆盖范围、识别检测机会以及运行结构化蓝队演练场景的威胁情报研究工具。所有数据均来源于公开威胁情报(MITRE ATT&CK、开源 CTI 报告)。
## 功能
- **APT 组织分析** — 技术映射、杀伤链覆盖热图、严重性评分
- **组织对比** — 多个攻击行为者之间的 TTP 重叠与独特技术分析
- **检测指导** — 按战术划分的数据源与检测策略
- **蓝队演练** — 基于场景的练习,包含可观测对象、分析问题与缓解措施
- **MITRE ATT&CK 集成** — 通过 `mitreattack-python` 获取实时数据;离线时回退到打包数据
- **Web 仪表盘** — 交互式 Plotly 图表;演练场景浏览器
## 安装
```
pip install -r requirements.txt
```
ATT&CK STIX 数据(约 30 MB)会在首次运行时自动下载,并缓存到 `data/` 目录。
## 用法
### CLI
```
python phoenix.py groups # List all ATT&CK threat groups
python phoenix.py analyze "APT29" # Full TTP analysis + detection guidance
python phoenix.py analyze "Lazarus Group" --json # Machine-readable output
python phoenix.py compare "APT29" "APT28" # Compare TTP overlap
python phoenix.py scenarios # List training scenarios
python phoenix.py scenario sc-001 # Show scenario with Q&A
python phoenix.py web # Launch web dashboard
```
### Web 仪表盘
```
cd web && python app.py
# 打开 http://localhost:5002
```
## 包含的演练场景
| ID | 难度 | 技术 | APT |
|----|-----------|-----------|-----|
| sc-001 | 初级 | T1566.001 Spearphishing Attachment | APT28 |
| sc-002 | 中级 | T1003.001 LSASS Memory Dump | APT29 |
| sc-003 | 初级 | T1053.005 Scheduled Task Persistence | Lazarus Group |
| sc-004 | 高级 | T1071.004 DNS Tunneling C2 | Turla |
## 项目结构
```
CrimsonPhoenix/
├── core/
│ ├── attck_client.py # MITRE ATT&CK API wrapper + offline fallback
│ ├── campaign_analyzer.py # TTP mapping, coverage scoring, detection guidance
│ └── training_scenarios.py # Blue team scenario library
├── web/
│ ├── app.py # Flask dashboard (port 5002)
│ └── templates/ # index.html (analysis), training.html (scenarios)
├── phoenix.py # CLI entry point
├── requirements.txt
└── README.md
```
## 数据来源
所有组织和技术数据均来源于 [MITRE ATT&CK](https://attack.mitre.org/)
(CC BY 4.0)。活动描述引用了来自 Mandiant、CrowdStrike、CISA 咨询和学术研究的公开可用威胁情报报告。
标签:APT28, APT29, APT分析, Cloudflare, HTTP/HTTPS抓包, Lazarus Group, MITRE ATT&CK, Plotly, Python, STIX, TTPs分析, Web仪表盘, 交互式分析, 威胁情报, 安全培训, 已泄露账号检查, 开发者工具, 态势感知, 无后门, 杀伤链, 溯源分析, 网络安全, 逆向工具, 防御态势, 隐私保护