anpa1200/israel-government-threat-actors-cti

# 以色列政府威胁行为者网络威胁情报 [](https://github.com/anpa1200/israel-government-threat-actors-cti/actions/workflows/validate.yml) 这是一个防御性网络威胁情报知识库，专注于公开来源的报告，内容涉及与以色列政府、公共部门、市政、关键基础设施及相关供应商相关的威胁行为者、角色、恶意软件家族、战术技术与程序以及检测机会。 此知识库明确仅用于蓝队防御。它包含来源引用、分析摘要、ATT&CK 映射、IOC 参考位置及检测示例。不存储恶意软件二进制文件、泄露数据、凭据、漏洞利用代码或未经授权访问的说明。 ## 范围 - 被报告针对以色列的伊朗国家支持和国家关联行为者。 - 被评估为与以色列政府暴露相关的巴勒斯坦、黎巴嫩和地区活动集群。 - 在公共报告中将活动与以色列实体或以色列制造的基础设施相关联的黑客行动主义和影响力行动角色。 - 针对常见攻击手法的防御检测：网络钓鱼、RMM 滥用、PowerShell 执行、Webshell 后利用、身份滥用、OT 暴露以及破坏性/擦除器准备。 ## 知识库结构图 | 路径 | 用途 | | --- | --- | | `docs/actors/` | 行为者与角色资料，包含别名、相关性、TTP 和来源说明。 | | `docs/navigation/` | 为分析师导航生成的行为者与攻击面交叉参考页面。 | | `docs/tools/` | 生成的恶意工具详情页，包含行为、哈希/IOC 状态、行为者关联、猎捕、检测及来源审查上下文。 | | `docs/reports/` | 报告索引和来源收集指南。 | | `docs/reports/andrey-medium-articles.md` | 来自 `@1200km` 的相关 Medium 文章，作为撰写 CTI 或方法论参考。 | | `docs/reports/2026-israel-critical-infrastructure-escalation.md` | 关于以色列关键基础设施和地缘政治升级的研究收录报告。 | | `docs/reports/defensive-cti-threats-to-israeli-public-sector.md` | 聚焦于以色列政府和公共部门环境的防御性 CTI 综合报告。 | | `docs/reports/worked-cases.md` | 针对 MuddyWater、Scarred Manticore/UNC1860 到 Void Manticore 以及 CyberAv3ngers OT 暴露的端到端 CTI 到检测实战案例。 | | `docs/reports/ci-validation-evidence.md` | 公开的 GitHub Actions 验证和 Pages 构建证据。 | | `docs/reports/release-notes.md` | 版本化的发布说明和成熟度变更。 | | `docs/methodology/` | CTI 到检测的操作标准、评分模型和工件契约。 | | `docs/threat-hunting/` | 威胁猎捕工作流程和假设规则。 | | `docs/detection-engineering/` | 检测生命周期、DRL、质量门控和生产标准。 | | `docs/known-limitations.md` | 顶层限制和非生产环境注意事项。 | | `docs/customer-environment-use.md` | 如何在客户/SOC 环境中使用此项目而不夸大其生产就绪性。 | | `docs/connected-tips.md` | 关联的 CTI/TIP 订阅源描述、命令、可选密钥和推送工作流。 | | `docs/intelligence-updates.md` | 从无密钥公开源生成的 CTI 订阅源更新队列。 | | `docs/malware-tool-intelligence.md` | 行为者到工具矩阵，包含行为摘要、哈希/IOC 状态、来源链接和检测说明。 | | `examples/registers/` | PIR、SIR、证据、角色声明、场景、猎捕、检测、健康和指标登记模板。 | | `examples/gates/` | 质量门控证据包样本。 | | `examples/drl-evidence-packs/` | 检测特定的 DRL 证据包。 | | `examples/detection-test-results/` | 已提交的实验室/合成检测测试证据（如有）。 | | `examples/replay-datasets/` | 用于解析器和规则行为检查的小型合成回放数据集。 | | `data/actors.csv` | 结构化行为者登记表。 | | `data/sources.csv` | 来源登记表，包含可靠性、发布/访问/审查日期以及存档哈希（如有）。 | | `data/research-downloads.csv` | 本地源存档的下载清单，包含状态、本地路径、大小和 SHA-256。 | | `data/intel-feeds.csv` | 公开/免费 CTI 订阅源定义和可选连接器目标。 | | `data/intel-update-candidates.csv` | 从 CTI 订阅源生成的分析师审查队列。 | | `data/ttps.csv` | 行为者到 ATT&CK 映射表。 | | `data/ioc-references.csv` | 公开 IOC 位置的指针。 | | `data/malware-references.csv` | 不含二进制文件的恶意软件/工具参考表。 | | `data/tool-intelligence.csv` | 防御工具情报表，涵盖行为、哈希/IOC 可用性以及行为者关联的检测说明。 | | `sources/` | 评分后的来源库，分为 A 级主要来源、B 级辅助来源和 C 级观察列表材料。 | | `detections/sigma/` | 防御性 Sigma 示例和猎捕规则。 | | `detections/kql/` | Microsoft Sentinel / Defender 猎捕示例。 | | `detections/splunk/` | Sigma 生成的 Splunk SPL 转换工件供审查。 | | `detections/elastic/` | Sigma 生成的 Elastic Lucene 转换工件供审查。 | | `scripts/validate_repo.py` | CSV 和 Sigma 规范性的本地验证。 | | `scripts/build_research_manifest.py` | 从被忽略的本地下载构建已提交的源下载清单。 | | `scripts/convert_research_downloads.py` | 将被忽略的本地 HTML/PDF 下载转换为可搜索的分析师文本。 | | `scripts/fetch_intel_updates.py` | 获取无密钥公开 CTI 订阅源并写入分析师更新队列。 | ## 快速开始 ``` python3 scripts/validate_repo.py ``` 首先查看[文档/以色列政府威胁模型.md](docs/israel-government-threat-model.md)中的初始威胁模型，然后阅读[文档/行为者/自述文件.md](docs/actors/README.md)。 要进行实际点击操作，请从[行为者导航工作台](docs/navigation/actor-workbench.md)、[TTP 到检测矩阵](docs/navigation/ttp-detection-matrix.md)或[攻击面与能力矩阵](docs/navigation/surface-capability-matrix.md)开始。 要了解行为者关联的恶意软件和工具行为，请从[恶意软件与工具情报](docs/malware-tool-intelligence.md)或生成的[恶意工具索引](docs/tools/README.md)开始。 要获取 CTI 订阅源更新，请从[关联的 TIP 与 CTI 订阅源](docs/connected-tips.md)开始。 要进行来源分类，请从[来源/自述文件.md](sources/README.md)开始。 要获取当前的公开 CTI 更新候选： ``` npm run intel:update ``` 这将更新[文档/情报更新.md](docs/intelligence-updates.md)和[数据/情报更新候选.csv](data/intel-update-candidates.csv)。订阅源项目仅为审查线索；在更改行为者或检测内容之前，需通过来源/证据记录进行提升。 要进行威胁猎捕和基于 CTI 的检测工程，请从[文档/方法论/操作标准.md](docs/methodology/operating-standard.md)开始。 要查看端到端示例和证明工件，请查阅： - [实战案例](docs/reports/worked-cases.md) - [DRL 证据包](docs/detection-engineering/drl-evidence-packs.md) - [CI 验证证据](docs/reports/ci-validation-evidence.md) - [发布说明](docs/reports/release-notes.md) - [已知限制](docs/known-limitations.md) - [客户环境使用](docs/customer-environment-use.md) - [关联的 TIP 和 CTI 订阅源](docs/connected-tips.md) - [情报更新队列](docs/intelligence-updates.md) - [恶意软件与工具情报](docs/malware-tool-intelligence.md) - [恶意工具索引](docs/tools/README.md) - [检测状态仪表板](docs/detection-engineering/detection-status-dashboard.md) - [行为者导航工作台](docs/navigation/actor-workbench.md) - [TTP 到检测矩阵](docs/navigation/ttp-detection-matrix.md) - [攻击面与能力矩阵](docs/navigation/surface-capability-matrix.md) - [回放数据集](docs/detection-engineering/replay-datasets.md) ## 核心来源 此项目始于 MITRE ATT&CK、CISA、Microsoft 威胁情报、Mandiant / Google Cloud、ESET、SentinelOne、Meta、Check Point Research 以及其他信誉良好的 CTI 发布者的公开报告。来源记录维护在[数据/来源.csv](data/sources.csv)中。 关键的起始参考包括： - MITRE ATT&CK: [MuddyWater G0069](https://attack.mitre.org/groups/G0069/), [OilRig G0049](https://attack.mitre.org/groups/G0049/), [Magic Hound / APT35 G0059](https://attack.mitre.org/groups/G0059/), [APT42 G1044](https://attack.mitre.org/groups/G1044/), [Agrius G1030](https://attack.mitre.org/groups/G1030/), [APT-C-23 / Arid Viper G1028](https://attack.mitre.org/groups/G1028/) - CISA: [AA23-335A 与 IRGC 关联的 CyberAv3ngers Unitronics PLC 活动](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a) - Microsoft: [伊朗为支持哈马斯激增网络赋能的影响力行动](https://www.microsoft.com/en-gb/security/security-insider/intelligence-reports/iran-surges-cyber-enabled-influence-operations-in-support-of-hamas/) - Mandiant / Google Cloud: [UNC3890: 针对以色列航运和其他行业的伊朗行为者](https://www.securityweek.com/iranian-group-targeting-israeli-shipping-and-other-key-sectors/) 以及 [APT42: 邪恶魅力、骗局与妥协](https://cloud.google.com/blog/topics/threat-intelligence/apt42-charms-cons-compromises/) - Andrey Pautov Medium 研究: [Handala](https://medium.com/@1200km/cti-research-handala-hack-group-aka-handala-hack-team-ddbdd294cfb8), [MuddyWater](https://medium.com/@1200km/cti-research-muddywater-seedworm-mango-sandstorm-ebf6af5ba061), [以及以色列电信 CTI 驱动的防御策略](https://medium.com/@1200km/cti-led-defensive-strategy-for-a-fictional-cellular-provider-case-study-c77bc5765b31) ## 处理规则 - 除非未来的私有分支明确说明，否则将所有内容视为 `TLP:CLEAR`。 - 不要提交恶意软件样本、密码转储、私人受害者数据或访问令牌。 - 优先使用指向供应商 IOC 附录的链接，而非复制可能很快过时的大型 IOC 列表。 - 单独标记置信度和来源可靠性。 - 在知识库定义控制或过程时使用规范性语言：`MUST`、`SHOULD`、`MAY`、`REQUIRED`、`OPTIONAL`。 ## 版本 当前版本：`v1.1` ## CTI 文档生态系统 此知识库是相互关联的三本 CTI 文档生态系统的一部分： - [CTI 分析师现场手册](https://anpa1200.github.io/cti-analyst-field-manual/) - 通用的 CTI 技艺和分析师操作手册。 - [客户驱动的 AI CTI 项目](https://anpa1200.github.io/customer-driven-ai-cti-project/) - 客户交付方法论、质量门控和 CTI 到检测的项目控制。 - [以色列政府威胁行为者 CTI](https://anpa1200.github.io/israel-government-threat-actors-cti/) - 以以色列为重点的行为者、工具、TTP、猎捕、检测和来源知识库。 使用文档站点中的生态系统页面在技艺、交付方法论和行业特定情报之间切换。

标签：逆向工具