GeoffreyAwinyoSecOps/threat-intelligence-reports

# 威胁情报报告 本仓库包含网络威胁情报 (CTI) 报告和检测工程工作，主要侧重于分析 adversary 行为并将情报转化为可操作的检测规则。 ## 目标 - 分析 adversary 的战术、技术和程序 (TTP) - 将行为映射到 MITRE ATT&CK - 为 SIEM 环境开发检测逻辑 - 为 SOC 团队提供可操作的指导 ## 报告 ### ISO MOTW 绕过 (Qakbot Tradecraft) - 技术：通过 ISO 投递绕过 Mark-of-the-Web - MITRE ATT&CK：T1553.005, T1027, T1204.002 - 包含检测逻辑和 SOC 指导 ## 检测内容 通过情报分析得出的检测规则和逻辑包含在 `/detections` 文件夹中。 ## 关于 这项工作是我威胁检测工程和网络威胁情报领域动手训练与基于靶机经验的实践部分。

标签：AMSI绕过, Cloudflare, Detection Rules, DNS 反向解析, ISO文件攻击, Mark-of-the-Web Bypass, MITRE ATT&CK, MOTW绕过, Qakbot, TTP分析, 威胁分析报告, 威胁检测, 子域枚举, 安全实验室, 安全运营中心, 攻击行为分析, 网络威胁情报, 网络安全, 网络映射, 防御策略, 隐私保护