lost0x01/RAIccoon

# 🦝 RAIccoon — 紫队安全研究技能 ## 概述 RAIccoon 是一项独特的综合技能，将 **11 个紫队能力模块** 整合于一体。无需在不同的工具或提示之间切换，RAIccoon 会自动识别任务所需的模块并激活相应工作流程——在整个过程中保持攻防思维并行运作。 核心理念：*理解攻击方式，然后立即构建针对它的检测和响应机制。* ``` flowchart LR A[User Task / Input] --> B[RAIccoon Identifies Relevant Modules] B --> C[Offensive Analysis] C --> D[Defensive Translation] D --> E[Detection Engineering] D --> F[Threat Hunting] D --> G[Incident Response] D --> H[Purple Team Planning] E --> I[Rules & Detections] F --> J[Hunt Queries & IOC Enrichment] G --> K[Scoping & Timelines] H --> L[Exercise Metrics & Coverage] I --> M[Operational Security Outcomes] J --> M K --> M L --> M ``` ## 模块 | # | 模块名称 | 当您需要…时激活 | |---|--------|----------------| | 1 | **威胁报告分析** | 粘贴或分享威胁情报报告、公告、CISA 警报或厂商博客 | | 2 | **检测工程** | 需要 Sigma、KQL、SPL 或 YARA 规则；ATT&CK 映射；覆盖范围差距分析 | | 3 | **逆向工程与恶意软件分析** | 需要分流二进制文件、反编译代码或分析恶意软件样本 | | 4 | **渗透测试** | 要求进行渗透测试、漏洞评估或 Web 应用安全审查 | | 5 | **CVE 威胁情报报告** | 需要针对特定 CVE 的结构化报告 | | 6 | **威胁狩猎** | 希望运行假设驱动的狩猎或构建狩猎查询 | | 7 | **OSINT 与 IOC 信息增强** | 拥有需要关联分析的 IP、域名、哈希或邮箱 | | 8 | **沙箱报告分析** | 分享 Any.run、Triage、Joe Sandbox 或 Cuckoo 报告 | | 9 | **事件响应分流** | 正在界定活跃事件范围或构建事件时间线 | | 10 | **紫队演习规划** | 希望规划、运行或复盘紫队演习 | | 11 | **云威胁检测** | 需要针对 AWS、Azure 或 GCP 的检测规则或狩猎查询 | ## 快速开始 在 Claude Cowork 或 Claude Code 中安装 RAIccoon 技能，然后自然地描述您的任务： ``` Analyse this threat report and build detections for the TTPs. ``` ``` I have a suspicious binary — help me triage it. ``` ``` Write a Sigma rule for scheduled task persistence via non-standard parent process. ``` ``` Enrich this IOC: 185.220.101.47 ``` ``` Plan a purple team exercise targeting credential access techniques used by APT29. ``` RAIccoon 会自动识别相关模块并在需要时将其链接（例如：威胁报告 → 检测工程，或恶意软件分析 → 沙箱报告 → IOC 信息增强）。 ## 模块详情 ### 模块 1 — 威胁报告分析 从任何威胁情报报告中提取最大价值信息，剔除冗余内容。输出结构化分为五个部分： - **一句话摘要** — 简明语言，≤25 词 - **趋势** — 20–50 条新颖或具有操作重要性的模式 - **统计数据** — 具体数字和时间范围 - **引言** — 值得保留的原文引用 - **参考文献** — 提及的所有工具、CVE、公司和框架 - **建议** — 15–30 条可操作的防御和调查项 ### 模块 2 — 检测工程 遵循结构化的六步工作流程： 1. 威胁建模（环境、遥测、攻击者目标） 2. MITRE ATT&CK 映射和覆盖范围差距分析 3. 检测假设开发 4. 规则编写（默认 Sigma；可按需提供 KQL、SPL、YARA） 5. 测试和调优指导（Atomic Red Team 映射、误报排除） 6. 覆盖范围成熟度评分（1–4 级） **示例假设格式：** **支持的规则格式：** Sigma · KQL (Sentinel/Defender) · SPL (Splunk) · YARA ### 模块 3 — 逆向工程与恶意软件分析 支持通过 MCP 服务器集成使用 Ghidra (GhidrAssistMCP)、IDA Pro、radare2 和 angr。若无 MCP 连接，则回退到 radare2 CLI。 **标准工作流程：** - 恶意软件分流（导入、字符串、加密、C2 识别） - 漏洞研究（不安全缓冲区操作、数据流追踪） - CTF 二进制分析（缓解措施、胜利条件、ROP 链构建） - 二进制差异比较和补丁分析 **输出模板：** SHA256 · 能力 · 可疑导入 · 网络指标 · 主机指标 · ATT&CK 映射 · 推荐检测规则 ### 模块 4 — 渗透测试 涵盖 OWASP Top 10 和 API 安全风险，分为五个阶段：范围界定、侦察、漏洞评估、受控利用和报告生成。输出包含 CVSS v3.1 评分、概念验证载荷以及优先级排序的修复路线图。 ### 模块 5 — CVE 威胁情报报告 从 NVD、MITRE、MSRC、CISA 和厂商公告研究 CVE 数据，然后生成结构化报告，内容涵盖： - 执行摘要（非技术性，关注业务影响） - 漏洞根本原因和攻击场景 - 针对性的 Sigma/KQL/YARA 检测规则（使用真实字段名和值） - 威胁狩猎假设和查询 - 补丁和缓解指导 每份 AI 生成的 CVE 报告都必须包含 **⚠ AI 辅助报告** 的披露横幅。 ### 模块 6 — 威胁狩猎 支持 **TaHiTI**（假设驱动，锚定于特定威胁情报）和 **PEAK**（项目级狩猎日历和覆盖范围审查）框架。 每次狩猎必须以以下四种结果之一结束：未发现 · 升级至事件响应 · 创建检测规则 · 记录遥测差距。 ### 模块 7 — OSINT 与 IOC 信息增强 从任何起始 IOC 进行关联分析： | 起始 IOC | 可关联至 | |---------|---------| | 域名 | IP 历史、WHOIS、注册商、兄弟域名 | | IP | 托管域名、ASN、开放端口、证书 | | 哈希 | 相关样本、释放文件、C2 通信 | | 证书 | 基础设施集群（证书复用） | | 邮箱 | 注册者历史、其他域名 | | 互斥体/PDB 路径 | 相关恶意软件家族 | | JA3 哈希 | TLS 指纹匹配 | IOC 置信度评级：**高 · 中 · 低 · 过期** — 每个级别提供相应的黑名单指导。 ### 模块 8 — 沙箱报告分析 分析 Any.run、Hatching Triage、Joe Sandbox、Cuckoo 和 Hybrid Analysis 报告，涵盖六个层面：判定和家族识别、执行链、持久化机制、C2 通信、规避技术以及 IOC 提取。 最后提供优先级排序的 IOC 列表（可直接导入）、检测建议，以及当需要更深入的静态分析时，建议转交至模块 3。 ### 模块 9 — 事件响应分流 涵盖五个 IR 阶段：初始评估、入侵范围界定（横向移动指标）、证据收集（按优先级排序）、遏制和时间线重建。 包含可用于 MDE/Sentinel 的 KQL 查询，用于界定横向移动范围；以及针对勒索软件预置、域控制器入侵、数据渗出和监管通知触发条件（GDPR 72 小时，SEC 4 天）的升级标准。 ### 模块 10 — 紫队演习规划 支持四种演习类型：假设入侵 · 完整攻击链 · 特定技术 · 桌面推演。 为每个测试用例追踪两个核心指标： - **检测率** — 生成警报的测试用例百分比 - **平均检测时间** — 从红队行动到蓝队察觉的平均时间 项目级追踪：按战术统计的 ATT&CK 覆盖百分比、检测成熟度评分、跨演习的差异。 ### 模块 11 — 云威胁检测 涵盖 AWS（CloudTrail、VPC Flow Logs、GuardDuty）、Azure（活动日志、Azure AD、Defender for Cloud）和 GCP（Cloud Audit Logs、Security Command Center）。 将云特定的攻击模式映射到 ATT&CK 技术（T1078.004、T1098.001、T1537、T1562.008、T1580、T1552.005），并为每个平台提供即用型检测规则。 ## 跨模块链接 许多紫队任务自然跨越多个模块。常见模式： | 场景 | 模块链接 | |------|---------| | 威胁报告 → 防御 | 1（提取 TTPs/IOCs） → 2（构建检测规则） | | 恶意软件样本 → 检测 | 3（分流样本） → 2（根据发现创建 Sigma/YARA） | | 渗透测试发现 → 蓝队 | 4（识别技术） → 2（生产环境检测） | | CVE → PoC → 检测 | 3（逆向补丁） → 4（确认可利用性） → 2（规则） | | 沙箱报告 → 狩猎 | 8（提取 IOCs/TTPs） → 7（增强 IOCs） → 6（狩猎） | ## 原则 - **以攻为守进行检测。** 对于分析的每项技术，都要问："我如何在日志中狩猎它？" - **精准优于覆盖。** 一个高保真、触发率低的规则，胜过一个引起警报疲劳的嘈杂规则。 - **验证先于断言。** 如果不确定检测是否会触发或漏洞利用是否会成功，请说明并建议模拟。 - **记录推理过程。** 为规则添加注释，注释反编译代码，留下清晰的审计线索。 - **引用框架。** MITRE ATT&CK、OWASP、CVSS 和 NIST 能增加发现的可信度并使其可操作。 ## 资源 | 资源 | URL | |------|-----| | MITRE ATT&CK | https://attack.mitre.org/ | | Sigma 规则 | https://github.com/SigmaHQ/sigma | | Atomic Red Team | https://atomicredteam.io/ | | OWASP Top 10 | https://owasp.org/www-project-top-ten/ | | MalwareBazaar | https://bazaar.abuse.ch/ | | VirusTotal | https://www.virustotal.com/ | | Shodan | https://shodan.io/ | | radare2 手册 | https://book.rada.re/ | | CISA 公告 | https://www.cisa.gov/news-events/cybersecurity-advisories | | NIST NVD | https://nvd.nist.gov/ | ## 要求 - Claude Cowork（桌面版）或 Claude Code CLI - 逆向工程/恶意软件模块：可选的 MCP 服务器集成（GhidrAssistMCP、ida-pro-mcp、radare2-mcp） - 云狩猎：将云审计日志接入您的 SIEM ## 免责声明 RAIccoon 是一个研究和分析助手。所有渗透测试和漏洞利用指导在使用前必须获得资产所有者的**明确书面授权**。检测规则和 IOC 应在生产部署前在您的环境中进行验证。AI 生成的 CVE 报告和威胁情报摘要在实际操作使用前必须与主要来源进行交叉验证。 *RAIccoon — 因为每个优秀的紫队都需要一个机敏的蒙面搭档。* ## 法律免责声明 **版本：** v1.1 — 2026 年 5 月 ### 仅限授权使用 RAIccoon 仅提供用于**合法、授权的安全研究、防御运营和教育目的**。本技能中的所有渗透测试指导、漏洞利用技术、概念验证载荷和进攻性安全内容，仅旨在用于您持有合法所有者或控制者**明确书面授权**的系统和基础设施。 **什么构成书面授权？** 口头协议、即时消息和非正式电子邮件是不足够的。可接受的授权包括签署的工作说明书（SoW）、签署的交战规则（RoE）文件、正式的漏洞赏金计划范围协议或同等书面文书，其中明确指明授权方、测试范围内的系统、允许的活动和测试时间范围。如果您不确定您的授权是否符合此标准，请在符合后再继续操作。 在大多数司法管辖区，未经授权访问、测试或利用系统是非法的，包括但不限于以下法律规定的违法行为： - 《计算机欺诈和滥用法》(CFAA) — 美国 - 《1990 年计算机滥用法》— 英国 - 《2001 年网络犯罪法》— 澳大利亚 - 《布达佩斯网络犯罪公约》— 适用于缔约国 - 您所在司法管辖区适用的国家计算机犯罪和数据保护立法 **您需独自负责确保您对 RAIccoon 的使用符合适用法律、法规和组织政策。** ### 数据隐私 RAIccoon 模块——特别是事件响应分流、威胁狩猎和沙箱报告分析——可能涉及处理包含个人或敏感信息的日志数据、网络捕获或其他工件。**请勿输入个人数据、机密客户信息或受数据保护法（如 GDPR、HIPAA、CCPA）管制的信息，除非您已确保符合适用法规和您组织的数据处理政策。** 当必须分析受管制数据时，请确保在使用前已实施适当的匿名化、访问控制和数据保留政策。 ### 出口管制 RAIccoon 模块中描述的一些进攻性安全技术、工具引用和加密方法可能受出口管制法规约束，包括美国的《出口管理条例》(EAR) 和《国际武器贸易条例》(ITAR)，以及其他司法管辖区的等效框架。在受管制行业运营、拥有国际团队或跨境分发基于 RAIccoon 衍生作品的用户，应在使用前核实是否符合适用的出口管制法律。 ### 无担保 RAIccoon 按 **"原样"和"现有"** 提供，不提供任何形式的明示或暗示担保。这包括但不限于对特定用途的适用性、准确性、完整性、不侵权或适用于操作安全环境的担保。使用 RAIccoon 辅助生成的检测规则、IOC、威胁情报和分析输出**必须在生产系统、事件响应行动或法律程序中使用前进行独立验证**。 致欧盟和其他拥有消费者保护法的司法管辖区的用户：适用的当地法律可能限制了在多大程度上可以免除暗示担保。本免责声明中的任何内容均无意排除或限制根据强制性当地法律无法放弃的权利。 ### 责任限制 在适用法律允许的最大范围内，RAIccoon 的作者和贡献者对因使用或无法使用此技能而产生的任何直接、间接、附带、特殊、后果性或惩罚性损害概不负责，包括但不限于： - 因根据此技能生成的输出采取行动而对系统、数据或网络造成的损害 - 因未经授权使用本文描述的技术而产生的法律后果 - 因误用的检测、配置错误的规则或未经验证的 IOC 引起的安全事件或入侵 - 依赖未经与主要来源交叉验证的 AI 生成情报 ### AI 生成内容 RAIccoon 是一个 AI 辅助工具。所有输出——包括检测规则、IOC 评估、威胁行为者归因、CVE 分析和事件响应指导——均为 **AI 生成，必须作为分析师审查的起点**，而非权威的既定事实。AI 输出可能包含错误、遗漏、幻觉或过时信息。在操作使用前，务必与主要来源（厂商公告、NVD、MITRE ATT&CK、您自己的遥测数据）进行交叉验证。 ### 负责任披露 如果 RAIccoon 的输出或相关研究发现了先前未披露的漏洞或安全问题，鼓励您遵循负责任披露的做法，并在任何公开发布之前，将发现报告给受影响的厂商或通过适当的协调披露计划（例如 CISA、NCSC、厂商漏洞赏金）进行。 ### 第三方工具和资源 对第三方工具、框架、平台和服务的引用（包括但不限于 VirusTotal、Shodan、Ghidra、Metasploit、Splunk 和 Microsoft Sentinel）仅供参考。使用这些工具需遵守其各自的服务条款和许可协议。RAIccoon 不认可、不保证也不对第三方工具或其输出承担责任。 ## 许可证 [](https://creativecommons.org/licenses/by-sa/4.0/) 本作品采用 [知识共享 署名-相同方式共享 4.0 国际许可协议](https://creativecommons.org/licenses/by-sa/4.0/) 授权。 **您可以自由地：** - **分享** — 在任何媒介或格式下，为任何目的（包括商业目的）复制和重新分发本材料 - **演绎** — 为任何目的（包括商业目的）混搭、转换和基于本材料创作 **但须遵守以下条款：** - **署名** — 您必须给予适当的署名，提供指向许可证的链接，并说明是否做了更改。您可以通过任何合理方式完成，但不得以任何方式暗示许可方认可您或您的使用方式。 - **相同方式共享** — 如果您混搭、转换或基于本材料创作，您必须基于与原始许可相同的许可证分发您的贡献。 完整许可证文本：[`LICENSE`](./LICENSE) 版权所有 © 2026 Rob Morrow。根据上述 CC BY-SA 4.0 许可证条款保留所有权利。 *RAIccoon — 因为每个优秀的紫队都需要一个机敏的蒙面搭档。*

标签：AES-256, ATT&CK映射, CVE威胁情报, DAST, ESC4, IOC富集, OSINT, 事件响应, 云资产清单, 人工智能, 威胁情报分析, 恶意软件分析, 报告写作, 沙箱报告分析, 漏洞评估, 用户模式Hook绕过, 管理员页面发现, 紫队安全, 紫队演练, 网络安全, 覆盖缺口分析, 规则生成, 逆向工程, 速率限制处理, 隐私保护