btncwn/Omega-CyberThreat-Hunting-Series

# Omega – 威胁狩猎系列 **10 个实战威胁狩猎项目**，带你从**注册表持久化**一路进阶到**完整的 OSI 7 层威胁检测**。 每个项目包含： - ✅ 真实攻击模拟 - ✅ 逐步操作指南 - ✅ MITRE ATT&CK 映射 - ✅ 代码/脚本（PowerShell, Python, Bash） - ✅ 经验总结（而非仅仅是“惊叹”之词） ## 你将学到什么 - 攻击者如何维持**持久化**（注册表、WMI、计划任务） - 如何检测通过 UDP、DNS 和 ICMP 进行的**数据渗出** - 如何**主动中断** C2 通信（TCP reset / kill switch） - 如何构建**无文件多态恶意软件**并利用 PowerShell 日志进行检测 - 如何使用**隐写术**隐藏和提取数据 - 如何跨越所有 **7 个 OSI 层**（L1 → L7）进行威胁狩猎 - 如何分析**内存转储**以查找隐藏进程和注入代码 - 如何使用 Zeek 和 ELK stack 构建**网络狩猎平台** ## 你将使用的工具 | 类别 | 工具 | | :--- | :--- | | **Endpoint** | Sysmon, PowerShell, WMI, Registry, Volatility | | **Network** | Zeek, ELK, tcpdump, Wireshark, Scapy | | **C2 / Implants** | Sliver, Python, DoH, DNS over HTTPS | | **Detection** | Sigma rules, KQL, Event ID 4104, 4624, 4688 | | **Forensics** | Volatility, WinPMEM, MFT parser | ## 项目概览 | # | 项目 | 重点 | MITRE | | :--- | :--- | :--- | :--- | | 1 | Windows 持久化 | 注册表 Run 键, Atomic Red Team | T1547.001 | | 2 | UDP 隧道 | 通过 UDP 进行低速隐蔽的数据渗出 | T1048 | | 3 | 主动防御 (Kill Switch) | C2 流量拦截, TCP reset | T1071 | | 4 | 无文件多态恶意软件 | 仅内存执行, 编码的 PowerShell | T1059, T1027 | | 5 | 幽灵协议 (WMI + 注册表) | 自愈型持久化 | T1546.003 | | 6 | 隐写术 | 将数据隐藏在图像/音频中 | T1027 | | 7 | DNS 隧道 | 通过 DNS 渗出及检测 | T1048 | | 8 | 内存取证狩猎 | Volatility, 进程注入 | T1055 | | 9 | 网络 C2 狩猎 (Zeek + ELK) | HTTPS 信标检测 | T1071 | | 10 | Omega 7 层终极狩猎 | 完整的 OSI 模型威胁狩猎 | 多项 | ## 📜 许可证 **仅供教育用途** —— 未经许可，请勿部署在生产系统上。 *每个项目都旨在让你能够克隆、运行并深入理解——而不仅仅是纸上谈兵。*

标签：AI合规, AMSI绕过, DNS 反向解析, DNS隧道, ELK, IPv6, IP 地址批量处理, OSI七层模型, PowerShell, Python, Rootkit, SecList, Sigma规则, Sliver, Sysmon, WMI攻击, Zeek, 内存取证, 威胁检测, 安全实战教程, 安全实验室, 应用安全, 持久化防御, 攻击模拟, 数据展示, 数据窃取检测, 无后门, 无文件恶意软件, 目标导入, 端点安全, 紫队, 红队, 网络安全, 补丁管理, 逆向工具, 隐写术, 隐私保护, 驱动签名利用