Letlaka/redsun-bluehammer-undefend-detection-pack

# RedSun、BlueHammer 和 UnDefend 检测包 **重要提示：此仓库中的所有代码和检测逻辑均由 AI 生成。无法保证这些脚本正确、完整、安全或适用于任何环境。请自行承担使用这些脚本的风险。作者不对因使用本内容导致的任何损害、停机、数据丢失、误报、漏报、操作影响或其他伤害负责。在部署到任何生产环境之前，每个脚本都必须由合格人员进行审查、测试、调优和验证。** ## 概述 本仓库 `redsun-bluehammer-undefend-detection-pack` 包含 Microsoft Defender XDR 高级狩猎查询，编写于 Kusto 查询语言（KQL）。查询按技术检测包组织，涵盖涉及 RedSun、BlueHammer、UnDefend、Microsoft Defender、云文件、卷影复制服务（VSS）、Windows 服务行为、本地账户操作、符号链接、重解析点及相关 Windows 遥测的攻击链取证。 这些内容旨在用于安全研究、检测工程、实验室验证和控制式狩猎工作流。它不是即插即用的生产检测套件。每个环境的 Defender XDR 传感器覆盖范围、事件量、端点基线、软件清单和合法管理行为均不同。在启用这些查询作为计划自定义检测之前，必须在您自己的租户中验证语法和检测质量。 ## 仓库结构 每个检测家族独立存放于各自文件夹中。每个文件夹内的编号从 `01` 开始并按顺序排列。 | 文件夹 | 主查询 | 独立查询 | 用途 | | --- | --- | --- | --- | | `RedSun` | `01_redsun_full_attack_chain.kql` | `02` 至 `08` | 关联云文件、临时载荷暂存、重解析或 oplock 遥测、Defender 生成的文件写入以及 SYSTEM 执行工件。 | | `BlueHammer` | `01_bluehammer_full_attack_chain.kql` | `02` 至 `16` | 关联 Defender 更新滥用、云文件回调、VSS/SAM 访问、离线注册表活动、密码更改、服务创建以及令牌/进程行为。 | | `UnDefend` | `01_undefend_full_attack_chain.kql` | `02` 至 `08` | 关联 Defender 注册表侦察、签名文件访问、更新目录监控、WinDefend 服务监控、更新或引擎故障以及 MRT 目录访问。 | ## 查询设计模式 每个文件夹遵循相同的结构： 1. `01_*_full_attack_chain.kql` 是复合狩猎查询。它一起运行所有阶段逻辑，并在同一设备的时间窗口内关联证据。 2. 编号的独立脚本隔离单个阶段。这些脚本用于故障排除、基线分析、自定义检测原型和误报审查。 3. 独立脚本应匹配全链查询中对应的阶段块，除了最终的仅显示排序（如 `| order by Timestamp desc`）。 4. 主查询输出标准化字段，如 `Stage`、`StageDescription`、`ProcessName`、`ProcessCommandLine`、`AccountName`、`Evidence`、`AdditionalContext` 和 `ReportRefs`，以便跨阶段输出更易于审查。 ## Microsoft Defender XDR 要求 这些查询适用于 Microsoft Defender XDR 高级狩猎。它们依赖 Defender for Endpoint 及相关 Defender XDR 遥测中的表和列可用性。 常用表包括： | 表 | 典型用途 | | --- | --- | | `DeviceFileEvents` | 文件创建、修改、访问、读取、路径证据以及 VSS 或 Defender 文件交互。 | | `DeviceProcessEvents` | 进程创建、父进程上下文、命令行、令牌和账户上下文。 | | `DeviceImageLoadEvents` | DLL 加载，如 `cldapi.dll`、`wuapi.dll`、`samlib.dll` 和 `offreg.dll`。 | | `DeviceRegistryEvents` | 注册表键和值访问、云文件同步根注册表、Defender 路径侦察。 | | `DeviceNetworkEvents` | Defender 更新包下载信号和 CDN URL 访问。 | | `DeviceEvents` | 端点遥测，包括命名管道、服务事件、防病毒检测、服务更改、FSCTL 类似细节以及传感器相关的附加字段。 | 并非所有租户的遥测都一致。一些底层原语，特别是原始 oplock、重解析点、对象管理器符号链接和服务查询遥测，可能不会以明确事件形式出现。因此，查询中包含了针对 `ActionType` 和 `AdditionalFields` 的机会匹配，以在 Defender XDR 公开这些细节时使用。 ## 推荐验证流程 在生产使用前，按以下顺序验证每个包： 1. 在高级狩猎中使用有限回溯运行每个独立查询。 2. 确认查询在您的租户中可编译。 3. 审查原始结果量并识别匹配的正常软件或管理流程。 4. 为已知良好工具、服务账户、软件部署系统、备份产品、EDR 工具和漏洞扫描器添加本地排除。 5. 对同一包运行 `01_*_full_attack_chain.kql` 查询。 6. 将全链结果与独立结果进行比较，并确认关联阶段在操作上是否有意义。 7. 导出结果为 CSV 并审查进程路径、命令行、账户、设备和时间戳。 8. 仅在调优完成后，才将查询转换为计划自定义检测规则。 ## 生产部署建议 将这些查询视为起点。生产部署应包括： - 针对已知良好流程和路径的租户特定允许列表。 - 狩猎与告警的独立阈值。 - 计划式检测时尽可能更窄的回溯窗口。 - 有记录的严重性映射和故障排除运行手册。 - 测试设备或实验室模拟以确认预期匹配。 - 在启用自动事件创建前进行变更控制。 - 在 Defender 传感器更新或操作系统升级后进行周期性审查。 不要在未调优的情况下将所有主查询作为高严重性计划检测部署。有些阶段故意检测弱或机会性信号，这些信号对关联有用但作为独立告警时噪声较大。 ## 性能说明 主查询设计尽可能避免宽泛无界连接。它们使用标准化阶段行、早期投影和时间桶关联。然而，性能仍取决于租户规模、回溯时长和事件量。 如果查询超过 Defender XDR 执行限制： - 减少 `Lookback`。 - 先运行独立阶段以识别昂贵的阶段。 - 添加更窄的进程、路径、账户或设备过滤器。 - 仅保留所需投影列。 - 在连接或关联之前优先使用阶段汇总输出。 - 在支持且需要高基数分组时使用混洗提示。 ## 结果解读 这些查询应被解释为可疑行为模式的检测，而非单独作为已攻陷的证据。全链匹配比独立阶段匹配更强，但每个结果仍需分析师审查。 高价值审查字段： - `DeviceName` 和 `DeviceId` - `FirstSeen` 和 `LastSeen` - `StageCount` - `Stages` - `Processes` - `ProcessCommandLines` - `Accounts` - `Evidence` - `AdditionalContexts` - `ReportRefs` 分析师应从这些字段跳转到 Defender 设备时间线、进程树、文件时间线、注册表时间线、告警证据和身份活动。 ## 文件夹文档 每个检测文件夹包含针对该包特定技术细节的 README： - `RedSun/README.md` - `BlueHammer/README.md` - `UnDefend/README.md` 在运行该包之前，请使用文件夹 README。它描述了阶段模型、预期遥测、可能的误报、调优点和部署注意事项。 ## 仓库文档 通用仓库文件： - `CONTRIBUTING.md` 描述贡献范围、KQL 风格、验证和拉取请求期望。 - `CHANGELOG.md` 记录显著变更。 - `CODE_OF_CONDUCT.md` 定义协作预期行为。 - `SECURITY.md` 描述如何报告安全敏感仓库问题。 - `SUPPORT.md` 解释请求帮助时应提供的支持信息。 - `DISCLAIMER.md` 重复无担保、自行承担风险立场。 - `LICENSE.md` 包含本仓库的 Apache 2.0 许可条款。 - `NOTICE` 包含仓库归属和 AI 生成检测通知。 - `ROADMAP.md` 列出实用的将来改进。 - `.github/PULL_REQUEST_TEMPLATE.md` 提供拉取请求审查提示。 - `.github/ISSUE_TEMPLATE/*.md` 提供错误、查询调优和文档的议题模板。 ## 维护说明 每当以下情况发生时，应重新验证这些 KQL 文件： - Microsoft 更改 Defender XDR 表架构或事件命名。 - Defender for Endpoint 传感器行为变化。 - Windows 功能更新更改服务、注册表、云文件、SS 或 MRT 行为。 - 新的合法企业软件开始接触 Defender、VSS、云文件或 SAM 相关表面。 - 查询阈值更改为生产告警。 记录租户特定排除及其原因。避免排除会抑制攻击者可控用户可写路径的广泛排除。

标签：AMSI绕过, BlueHammer, CVE-2026-33825, Defender滥用行为, KQL, Kusto Query Language, Microsoft Defender, RedSun, UnDefend, VSS, Windows telemetry, 云文件, 威胁检测, 安全日志, 实验室验证, 攻击链, 本地账户操纵, 狩猎, 端点检测, 符号链接, 管理员页面发现, 重解析点