mengoh-quandry/Intezer-Detection-Library

# Quandry Labs 检测库 面向现代安全运营中心的行为检测规则。所有规则均具备以下特点： - **平台无关** — 以 Sigma 格式编写，并附带针对特定产品的转换 - **行为导向** — 不依赖脆弱的 IOC（哈希、IP、域名、电子邮件地址） - **生产就绪** — 已通过质量检查清单验证，并附有误报说明文档 ## 仓库结构 ``` sigma/ ├── windows/ # Windows detection rules (87 rules) ├── linux/ # Linux detection rules (9 rules) ├── macos/ # macOS detection rules (4 rules) └── cross-platform/ # Network & multi-OS rules (10 rules) yara/ ├── asyncrat/ # AsyncRAT YARA rules ├── remcosrat/ # RemcosRAT YARA rules ├── salatstealer/ # SalatStealer YARA rules ├── socgholish/ # SocGholish YARA rules ├── vidar/ # Vidar YARA rules └── behavioral/ # Behavioral YARA rules (4 rules) platform/ ├── crowdstrike/ # Falcon Query Language (FQL) ├── elastic/ # EQL/ESQL queries ├── microsoft-defender/ # Kusto Query Language (KQL) ├── sentinelone/ # Deep Visibility / STAR rules ├── splunk/ # SPL searches └── sumologic/ # Sumo Logic queries ``` 涵盖 9 种 MITRE ATT&CK 战术和 60 多种独立技术/子技术的**110 条 Sigma 检测规则**。174 项特定平台的转换。 ## 检测覆盖范围 ### 按 MITRE ATT&CK 战术分类的规则 | 战术 | 规则数 | 关键技术 | |--------|------:|----------------| | 防御规避 | 42 | T1027, T1036, T1055, T1140, T1218, T1562, T1564 | | 执行 | 18 | T1047, T1059.001/.003/.004/.005, T1620 | | 持久化 | 12 | T1053, T1543, T1546, T1547.001 | | 命令与控制 | 9 | T1071, T1102, T1105, T1219 | | 凭证访问 | 5 | T1005, T1555.003 | | 侦察 | 4 | T1016, T1057, T1082, T1497, T1614 | | 影响 | 3 | T1496 | | 数据渗出 | 3 | T1048, T1560.001 | | 收集 | 2 | T1005, T1560.001 | ### 完整 MITRE ATT&CK 技术覆盖范围 | 技术 | 名称 | 规则数 | |-----------|------|------:| | T1005 | 本地系统数据 | 2 | | T1016.001 | 网络连接发现 | 1 | | T1027 | 混淆文件或信息 | 5 | | T1027.003 | 隐写术 | 1 | | T1027.010 | 命令混淆 | 2 | | T1036 | 伪装 | 2 | | T1036.004 | 伪装任务或服务 | 1 | | T1036.005 | 匹配合法名称或位置 | 5 | | T1047 | Windows 管理规范 | 1 | | T1048 | 通过替代协议渗出 | 1 | | T1048.003 | 通过非加密非 C2 协议渗出 | 1 | | T1053.003 | Cron | 1 | | T1053.005 | 计划任务 | 3 | | T1055 | 进程注入 | 4 | | T1055.012 | 进程镂空 | 1 | | T1057 | 进程发现 | 1 | | T1059 | 命令和脚本解释器 | 3 | | T1059.001 | PowerShell | 17 | | T1059.003 | Windows 命令行 | 3 | | T1059.004 | Unix Shell | 1 | | T1059.005 | Visual Basic | 4 | | T1070.004 | 文件删除 | 3 | | T1071.001 | Web 协议 | 1 | | T1082 | 系统信息发现 | 1 | | T1102 | Web 服务 | 1 | | T1102.001 | 死信解析器 | 2 | | T1105 | 入站工具传输 | 14 | | T1112 | 修改注册表 | 1 | | T1140 | 解密/解码文件或信息 | 4 | | T1187 | 强制身份验证 | 1 | | T1204.001 | 恶意链接 | 2 | | T1218 | 系统二进制文件代理执行 | 2 | | T1218.002 | 控制面板 | 1 | | T1218.005 | Mshta | 3 | | T1218.007 | Msiexec | 3 | | T1218.009 | Regsvcs/Regasm | 1 | | T1218.010 | Regsvr32 | 1 | | T1218.011 | Rundll32 | 2 | | T1218.012 | Verclsid | 1 | | T1219 | 远程访问软件 | 3 | | T1496 | 资源劫持 | 3 | | T1497.001 | 系统检查（虚拟化/沙箱逃逸） | 2 | | T1542 | 操作系统前启动 | 1 | | T1543.001 | 启动代理 | 1 | | T1543.002 | Systemd 服务 | 1 | | T1543.003 | Windows 服务 | 1 | | T1543.004 | 启动守护程序 | 1 | | T1546 | 事件触发执行 | 1 | | T1547.001 | 注册表运行键 / 启动文件夹 | 3 | | T1553.001 | Gatekeeper 绕过 | 1 | | T1555.003 | 来自 Web 浏览器的凭证 | 4 | | T1560.001 | 通过实用程序归档 | 2 | | T1562 | 损害防御 | 1 | | T1562.001 | 禁用或修改工具 | 6 | | T1562.002 | 禁用 Windows 事件日志记录 | 2 | | T1564.001 | 隐藏文件和目录 | 2 | | T1564.003 | 隐藏窗口 | 5 | | T1574.002 | DLL 侧加载 | 1 | | T1614 | 系统位置发现 | 1 | | T1614.001 | 系统语言发现 | 1 | | T1620 | 反射式代码加载 | 2 | ### 威胁狩猎 — 2026 年 3 月（整合版：16 条 Sigma + 4 条 YARA） 基于对 MalwareBazaar 顶级签名进行实时威胁狩猎以及对 1,275 个样本 / 78 种文件扩展名开展的 3 天狩猎行动得出的行为模式。最初包含 4 个批次共 34 条规则，现已通过合并共享相同 MITRE 技术、SOC 响应和战术的检测项，整合为 16 条规则。 **整合摘要**（8 条整合规则取代了原先的 26 条）： | 整合规则 | 取代 | 技术 | |-------------------|----------|-----------| | 通过多种方法篡改 Defender | 5 条规则 | T1562.001, T1562.002 | | 可疑的计划任务持久化 | 3 条规则 | T1053.005 | | 可疑父进程 → .NET framework 工具 | 5 条规则 | T1055, T1127.001 | | .NET 注入设置 (taskkill + 编译器链) | 2 条规则 + G1/G6 缺口 | T1489, T1027.004, T1127 | | Netsh 滥用 (防火墙 + WiFi 收集) | 2 条规则 | T1562.004, T1614.001 | | PowerShell 反射式程序集加载 | 3 条规则 | T1059.001, T1620 | | MSHTA 可疑执行 | 4 条规则 | T1218.005, T1059.005 | | IoT 木马多架构下载或 tmp 执行 | 2 条规则 | T1059.004, T1105, T1222.002 | **保持独立**（8 条独立规则）： | 规则 | 理由 | 技术 | |------|--------------|-----------| | Schtasks wscript //e:jscript 引擎 | 独有的 T1059.007 | T1053.005, T1059.007 | | 来自可疑父进程的 RMM 工具 MSI | 独有的 T1219 | T1219, T1218.007 | | 带有 bypass 标志的 Temp 目录下 PowerShell -File | 独特的 -File 标志模式 | T1059.001 | | 贴码站下载暂存 | 特定于 Windows 的 LOLBins | T1102.001 | | 贴码站下载暂存 | 特定于 Linux 的工具 | T1102.001 | | 针对性终止 .NET 进程 | Linux 伴随规则 | T1489 | | 来自非浏览器的区块链 API | network_connection logsource | T1496, T1071.001 | | Maincrp schtasks 持久化 | 特定家族的 IOA | T1053.005 | **YARA 规则**（4 条）： | 规则 | 技术 | 目标 | |------|-----------|--------| | Mirai shell 木马脚本 | T1059.004, T1105 | Linux shell 脚本 | | RMM 安装程序木马脚本 | T1219, T1218.007 | Windows 脚本 | | 贴码站暂存脚本 | T1102.001, T1059.001 | 跨平台脚本 | | 交付后编译的 C# 源代码 | T1027.004, T1055 | Windows C# 源文件 | **MITRE ATT&CK 覆盖范围**：T1218.011, T1574.002, T1055, T1055.012, T1082, T1057, T1497.001, T1543.003, T1036.005, T1562.001, T1562.002, T1562.004, T1614.001, T1005, T1547.001, T1036, T1059, T1053.005, T1218.005, T1059.005, T1059.001, T1127.001, T1496, T1555.003, T1564.001, T1620, T1489, T1059.007, T1219, T1218.007, T1102.001, T1027.004, T1127, T1059.004, T1105, T1222.002, T1071.001 ## 检测工程支柱 每条规则均标记有一个或多个检测工程支柱，用于覆盖范围追踪： | 支柱 | 标签 | 描述 | |--------|-----|-------------| | AI | `detection.pillar.ai` | AI/ML 模型滥用、提示注入、基于 LLM 的威胁 | | 云 | `detection.pillar.cloud` | 云基础设施、SaaS、无服务器架构、容器威胁 | | 网络 | `detection.pillar.network` | 网络层检测、C2、横向移动、数据渗出 | | 端点 | `detection.pillar.endpoint` | 基于主机的检测、进程、文件、注册表活动 | | 合规 | `detection.pillar.compliance` | 策略违规、配置漂移、监管合规 | | 身份 | `detection.pillar.identity` | 凭证窃取、身份验证滥用、权限提升 | ### 支柱覆盖范围概要 | 支柱 | 规则数 | |--------|------:| | 端点 | 103 | | 身份 | 1 | | 网络 | 6 | | 云 | 0 | | AI | 0 | | 合规 | 0 | ## 规则质量标准 每条规则均经过以下验证： - [x] 无脆弱的 IOC（哈希、IP、域名、电子邮件） - [x] 行为检测模式 - [x] MITRE ATT&CK 技术映射 - [x] 误报说明文档 - [x] Sigma v2.x 规范合规性 ## 用法 ### Sigma 规则 直接导入到您的 SIEM/EDR 中： ``` # 转换单个规则到您的平台 sigcli convert sigma/windows/conhost-headless-process-execution.yml -t splunk # 转换所有 Windows 规则 sigcli convert sigma/windows/*.yml -t crowdstrike # 转换跨平台的全部规则 sigcli convert sigma/**/*.yml -t elastic ``` ### 特定平台的规则 预转换的规则位于 `platform/` 目录中： - **CrowdStrike Falcon**: `platform/crowdstrike/` - **SentinelOne**: `platform/sentinelone/` - **Microsoft Defender**: `platform/microsoft-defender/`（即将推出） ## 来源 规则源自： - 威胁情报分析 - 恶意软件沙箱遥测 - SentinelOne STAR 规则部署 - ATT&CK 技术研究 - ClickFix Hunter API (https://github.com/quandry-labs) ## 许可证 MIT 许可证 — 可免费用于商业和非商业用途。 ## 贡献 欢迎贡献。请确保所有规则遵循 `CONTRIBUTING.md` 中的质量检查清单。 由 [Quandry Labs](https://github.com/quandry-labs) 维护

标签：AMSI绕过, Cloudflare, Conpot, CrowdStrike, DNS信息、DNS暴力破解, DNS 反向解析, DNS 解析, EDR, EQL, FQL, HTTP工具, IOC检测, IP 地址批量处理, Kali, KQL, macOS安全, Microsoft Defender, MITRE ATT&CK, SentinelOne, Sigma规则, SPL, Sumo Logic, Windows安全, YARA规则, 后渗透, 威胁检测, 安全运营, 扫描框架, 无线安全, 生产就绪, 目标导入, 知识库安全, 网络信息收集, 网络安全, 脆弱性评估, 质量分级, 隐私保护