descambiado/flipper-purple-team

# Flipper Purple Team 针对 Flipper Zero 的 BadUSB 和 HID 攻击载荷，并配有精确的 SIGMA 检测规则、KQL 狩猎查询以及取证工件——经过端到端测试，以便你运行攻击并验证检测能力，填补检测漏洞。 大多数 BadUSB 载荷集合与检测内容相互孤立。大多数 HID 攻击检测规则过于通用，无法捕获 Flipper Zero 留下的特定痕迹。本仓库将攻防双方联系起来。 ## 工作原理 本仓库中的每个条目包含四个组成部分： 1. **载荷** - Flipper Zero BadUSB 脚本（`.txt` 格式，Rubber Ducky 语法） 2. **SIGMA 规则** - 厂商中立的检测规则，已提交至 SigmaHQ 3. **KQL 查询** - Microsoft Sentinel 狩猎查询，已贡献至 Azure-Sentinel 4. **取证分析** - 确切说明哪些事件触发、来自哪些日志源、包含哪些字段值 在测试机上运行载荷。检查你的 SIEM。如果规则触发，说明你的检测生效了。如果没有，现在你就知道了差距所在。 ## 覆盖范围 ### BadUSB / HID 注入 | # | 攻击手法 | OS | SIGMA | KQL | Elastic | 状态 | |---|--------|----|-------|-----|---------|--------| | 01 | [通过运行对话框执行 PowerShell](badusb/01-windows-powershell-run-dialog/) | Windows | 是 | 是 | 计划中 | 已完成 | | 02 | [编码命令下载加载器](badusb/02-windows-encoded-download-cradle/) | Windows | 是 | 计划中 | 计划中 | 已完成 | | 03 | [macOS 终端命令执行](badusb/03-macos-terminal-execution/) | macOS | 是 | - | 计划中 | 已完成 | | 04 | [Windows LOLBIN 执行（certutil）](badusb/04-windows-lolbin-certutil/) | Windows | 是 | 是 | - | 已完成 | | 05 | [Linux bash 反向 Shell](badusb/05-linux-bash-revshell/) | Linux | 计划中 | - | 计划中 | 计划中 | ### Sub-GHz / RF Sub-GHz 重放攻击的检测主要不在 SIEM 范围内。参见 [sub-ghz/README.md](sub-ghz/README.md) 了解物理安全日志关联的指导。 ### NFC / RFID NFC 克隆仅在物理访问控制系统中留下痕迹。参见 [nfc/README.md](nfc/README.md)。 ## 前置要求 **运行载荷：** - 已安装 BadUSB 应用程序（原厂固件）的 Flipper Zero - 属于你自己或已获得书面授权的测试机器 **验证检测：** - Microsoft Sentinel（KQL 查询）或任何支持 SIGMA 的 SIEM - 在 Windows 测试机器上部署 Sysmon（推荐配置：[SwiftOnSecurity/sysmon-config](https://github.com/SwiftOnSecurity/sysmon-config)） - 启用 PowerShell 脚本块日志记录（事件 ID 4104） **本仓库不包含：** - 针对特定组织的载荷 - 用于长期驻留的持久化机制 - C2 基础设施 ## 方法论 每个条目的检测部分均从取证工件出发，而非从载荷源码开始。针对每个攻击： 1. 在干净的测试机上运行载荷 2. 收集所有生成的事件（Sysmon、Windows Security、PowerShell 操作、USB 事件） 3. 找出能将此攻击与正常活动区分开的最少字段集合 4. 根据这些字段编写规则 5. 基于 30 天的正常键盘和进程活动基线，调优误报率 目标是规则只针对精确攻击触发，而不是对所有事件都触发，只有通过分析师判断才有用。 ## 作者 **descambiado** - SOC 分析师与检测工程师。紫队工作经验覆盖 Microsoft Sentinel、Elastic SIEM、Splunk、SigmaHQ 以及硬件安全工具。 [github.com/descambiado](https://github.com/descambiado)

标签：AI合规, AMSI绕过, BadUSB, Conpot, Elastic安全, Flipper Zero, HID攻击, IPv6, KQL查询, LOLBIN, macOS安全, Microsoft Sentinel, NFC克隆, OpenCanary, PowerShell, RFID, SIGMA规则, Sub-GHz, Windows安全, 反向Shell, 命令执行, 威胁检测, 安全测试, 攻击性安全, 攻击模拟, 物理安全, 知识库安全, 紫队, 网络信息收集, 远程文件下载, 驱动签名利用