iDea82/threat-hunting-scripts

# 威胁狩猎脚本 这是一组基于 Python 的威胁狩猎脚本，用于在日志数据中 主动检测对手行为，而无需依赖现有的告警规则。每次狩猎都 围绕映射到 MITRE ATT&CK 技术的特定假设构建。 ## 这些脚本解决的问题 标准的检测规则只能捕获其编写的目标内容。老练的攻击者会 研究检测阈值，并仅在此阈值之下进行操作。这些脚本通过对 原始日志数据进行统计分析和行为模式识别来发现此类活动。 ## 狩猎 ### 狩猎 1 — 信标检测 **文件：** `hunt_beaconing.py` **MITRE ATT&CK：** T1071.001 - 应用层协议：Web **假设：** 恶意软件正以固定间隔呼叫 C2 服务器，以混入 正常的 HTTPS 流量中。 **方法：** 对每个内部主机与外部目标之间的连接时间进行 统计分析。合法的浏览活动产生不规则的间隔（高标准差）。 恶意软件信标产生规则的间隔（低标准差）。信标评分 (0-100) 是使用连接间隔的变异系数计算得出的。 **样本数据结果：** - 识别出 `WKSTN-ATIJANI-01` 正向 `185.220.101.45` 发送信标 - 260 次连接，平均间隔 5.0 分钟，标准差 17.1 秒 - 信标评分：95/100 ### 狩猎 2 — 凭据填充检测 **文件：** `hunt_credential_stuffing.py` **MITRE ATT&CK：** T1110.004 - 凭据填充 **假设：** 攻击者正在使用分布式凭据填充——许多源 IP 各自尝试 1-2 次登录——以保持在每个源的锁定阈值之下。 **方法：** 五层分析——外部 IP 失败量、每源尝试分布、 时间聚类、目标账户分析和攻击后成功检测。 **样本数据结果：** - 识别出 50 个独特的攻击者 IP，每个尝试 ≤3 次登录 - 在 9.9 分钟内对 8 个账户共造成 101 次失败 - 检测到 `bjones` 账户被成功攻陷 ### 狩猎 3 — 横向移动检测 **文件：** `hunt_lateral_movement.py` **MITRE ATT&CK：** T1021.002 - SMB/Windows 管理共享 **MITRE ATT&CK：** T1047 - Windows 管理规范 (WMI) **假设：** 攻击者正利用合法的管理工具——PsExec 和 WMI 在网络中进行横向移动。 **方法：** 四层分析——管理工具使用检测、工作站到服务器的 移动模式、快速多系统身份验证以及服务安装链分析。 **样本数据结果：** - 识别出 `bjones` 使用 PsExec 和 WMI 进行横向移动 - 移动链：WKSTN-ATIJANI-01 → SRV-FILE-01 → SRV-DC-01 - 4 台服务器被攻陷：FILE、APP、DC、SQL ## 完整的攻击故事 对样本数据运行所有三个狩猎，揭示了一个未产生任何告警的 完整入侵： 02:17 — 恶意软件开始每 5 分钟发送一次信标（无告警） 03:22 — 通过 50 个 IP 进行凭据填充攻击（无告警） 03:34 — bjones 账户通过填充攻击被攻陷 03:34 — 开始通过 PsExec/WMI 进行横向移动 03:49 — 域控制器和 SQL 服务器被攻陷 ## 安装配置 ``` git clone https://github.com/iDea82/threat-hunting-scripts.git cd threat-hunting-scripts python -m venv venv venv\Scripts\activate python -m pip install pandas numpy colorama tabulate python generate_sample_logs.py python main.py ``` ## 技术栈 - **Python 3** — 核心语言 - **pandas** — 日志数据处理和分析 - **numpy** — 统计计算 - **colorama** — 彩色终端输出 - **tabulate** — 格式化结果表格 ## 作者 Adesina Tijani — 安全运营分析师 检测工程 · 威胁狩猎 · SOC 自动化 [linkedin.com/in/adesina-tijani-6372693b5](https://linkedin.com/in/adesina-tijani-6372693b5) [github.com/iDea82](https://github.com/iDea82)

标签：C2检测, Cloudflare, HTTP/HTTPS抓包, MITRE ATT&CK, PFX证书, Python, 凭据爆破, 凭证填充, 安全脚本, 安全运营, 开源安全工具, 异常检测, 心跳检测, 态势感知, 扫描框架, 攻击检测, 无后门, 横向移动, 统计分析, 编程规范, 网络安全, 行为识别, 逆向工具, 逆向工程平台, 隐私保护