Luca-css/threat-hunt-toolkit

# 威胁狩猎工具包 一款用于威胁狩猎的 Python 工具，可检查本地 Windows 系统上的 IOC（妥协指标）。检测可疑进程、与恶意 IP 的连接、注册表中的异常持久化、恶意文件以及受损的计划任务。生成深色主题的 HTML 报告并按严重程度进行分类。 ## 功能 | 模块 | 检测内容 | 技术 | |---|---|---| | **Process Scanner** | 具有恶意软件名称的进程、从可疑路径运行的进程、IOC 哈希值 | `subprocess` → PowerShell `Get-Process` + `hashlib.sha256` | | **Network Scanner** | 与恶意 IP 的连接、C2 端口 (4444, 1337, 31337)、过度 beaconing | `Get-NetTCPConnection` + `ipaddress` 验证 | | **Registry Scanner** | 带有恶意软件模式的 Run/RunOnce 键、编码命令、可疑路径 | PowerShell 在 7 个持久化键上执行 `Get-ItemProperty` | | **File Scanner** | `%PUBLIC%`, `%TEMP%` 中的可疑二进制文件、IOC 哈希值、双扩展名 | `os.walk` + `hashlib` | | **Task Scanner** | 带有恶意模式或混淆命令的计划任务 | PowerShell `Get-ScheduledTask` | | **HTML Report** | 深色主题报告，包含 Critical/High/Medium 严重级别、计数器、表格 | `open()` 编写纯 HTML | | **JSON Export** | 用于 SIEM 摄取的结构化输出 | `json.dump` | ## 系统要求 - Python 3.10+ - Windows 10/Server 2016 或更高版本 - 路径中可用的 PowerShell 5.1+ - 建议以管理员权限运行（用于读取进程和注册表） ``` # 无外部依赖 — 仅使用 stdlib python threat_hunter.py ``` ## 使用方法 ``` # 基本执行（推荐以管理员身份运行） python threat_hunter.py # 作为计划任务 (Task Scheduler) powershell -Command "python C:\tools\threat_hunter.py" ``` ## 预期输出 ``` ============================================================ THREAT HUNT TOOLKIT v1.0 — TrustIT Host: DC01-PROD Date: 2026-04-24 10:30:00 ============================================================ [*] Scanning running processes... [*] Scanning network connections... [*] Scanning registry persistence keys... [*] Scanning suspicious file locations... [*] Scanning scheduled tasks... [SUMMARY] Total findings: 3 Critical: 1 High: 2 [+] HTML report saved: threat_hunt_report_20260424_103000.html [+] JSON report saved: threat_hunt_report_20260424_103000.json [+] Scan complete. ``` **生成的 HTML 报告：** `threat_hunt_report_YYYYMMDD_HHMMSS.html` 报告包含： - 摘要卡片（总数，Critical，High，Medium，总体状态） - 包含严重级别、类别、详细信息、路径和指标的详细表格 - 按严重级别排序（Critical 优先） ## 包含的 IOC 数据库 - **恶意 IP**：已知的 Tor 出口节点和 C2 服务器列表 - **SHA-256 哈希**：已知的恶意软件样本 - **名称模式**：mimikatz, meterpreter, cobalt, empire, powersploit 等 - **注册表键**：7 个最受攻击的持久化位置 - **C2 端口**：4444, 4445, 1337, 31337, 9001, 9090 ## SIEM 集成 导出的 JSON 采用与 Elastic/Splunk 兼容的扁平结构： ``` { "generated": "2026-04-24T10:30:00", "hostname": "DC01-PROD", "total_findings": 3, "findings": [ { "category": "Malicious IP Connection", "severity": "Critical", "detail": "Active connection to known malicious IP 185.220.101.0:4444 (PID 1234)", "path": "185.220.101.0:4444", "indicator": "185.220.101.0" } ] } ``` *TrustIT — Lucas Santos | IT N3 分析师 | Windows/AD 网络安全*

标签：AI合规, DNS 解析, HTML报告, IOC, IPv6, Mr. Robot, OpenCanary, PowerShell, Python, 失陷标示, 安全扫描, 库, 应急响应, 数据包嗅探, 数据展示, 无后门, 时序注入, 注册表, 端点安全, 红队, 网络安全, 网络连接, 补丁管理, 计划任务, 进程分析, 逆向工具, 防御检查, 隐私保护