0x-7aswa/VM__Hunter

# VM_Hunter ## 概述 VM Threat Hunter 是一款专为蓝队和 SOC 分析师设计的高级、无代理、自动化威胁狩猎工具。它建立与 Linux 虚拟机集群的安全 SSH 连接，动态检索关键安全工件，并将它们与严格映射到 MITRE ATT&CK 框架的解耦式、基于规则的检测引擎进行关联。 作为国家电信学院 (NTI) 为期 4 个月奖学金项目的结业作品，该平台展示了企业级软件架构、无缝的 UI/UX 以及适用于现代 SOC 环境的强大狩猎报告功能。 ## 在线演示   ## 核心功能 * **无代理架构：** 利用 Python 的 `Fabric` 和 `Paramiko` 建立安全的 SSH 连接，无需安装任何端点代理即可获取所需的工件（例如 `/var/log/auth.log`、`/var/log/secure`、`~/.bash_history`），确保在目标服务器上零痕迹。 * **动态基于规则的引擎（35+ 规则）：** 检测逻辑通过结构化的 `rules.json` 文件与应用程序代码库完全解耦。它涵盖了高级持续性威胁 (APT)、无文件恶意软件、Rootkit、SUID 枚举和防御规避技术。 * **复杂事件关联：** 原生支持检测多阶段攻击，例如通过维护不同日志条目的状态来检测暴力破解后的成功管理员登录。 * **现代 SOC 仪表盘：** 使用 `CustomTkinter` 和 `Matplotlib` 开发，GUI 具备实时状态控制台、交互式进度跟踪、KPI 指标以及用于可视化分类的动态环形图/柱状图。 * **报告 JSON 导出：** 生成高度结构化的行业标准 JSON 报告，可直接用于 SIEM 摄取和正式的事件响应文档记录。 ## 架构设计 应用程序遵循严格的关注点分离 原则： 1. **传输层：** 连接到 `vms.json` 中定义的资产，解析 `$HOME` 等变量，并安全地将日志传输到本地临时狩猎目录。 2. **检测引擎：** 解析 `rules.json`，应用高度优化的正则表达式匹配，并执行行为关联算法。 3. **分析 UI：** 一个多线程、非阻塞的界面，可渲染单机或全局分析结果，允许分析师可视化地过滤从 INFO 到 CRITICAL 级别的威胁。 ## 环境准备与实验设置 为了确保无缝执行，了解操作环境并正确准备您的机器与远程端点之间的身份验证通道至关重要。 ### 1. 主机与目标架构 * **主机：** 主要工作站（您运行 Windows、macOS 或 Linux 的本地机器），在此执行 `VM_Hunter` 应用程序 (`main.py`)。 * **目标机器：** 远程 Linux 虚拟机或物理端点（例如 Kali Linux、Ubuntu Server、Linux Mint），作为被主动监控和狩猎的受害者/服务器。 ### 2. SSH 密钥配置（推荐） 虽然完全支持传统的密码身份验证，但强烈建议配置基于 SSH 密钥的身份验证，以实现安全、快速和自动化的日志获取。 **在您的主机上：** 1. 生成 SSH 密钥对（如果您还没有的话）： ssh-keygen -t rsa -b 4096 2. 将您的公钥复制到目标机器以启用无密码登录： ssh-copy-id your_user_name@192.168.x.x 3. 测试连接以确保其无需提示输入密码即可连接： ssh your_user_name@192.168.x.x ## 安装与设置 ### 1. 前置条件 确保您的系统上安装了 Python 3.10 或更高版本。使用 pip 安装所需的依赖项： ``` pip install -r requirements.txt ``` ### 2. 配置 在 `vms.json` 文件中定义您的目标资产。该平台支持密码和 SSH 密钥身份验证： ``` [ { "name": "kali-machine", "host": "192.168.x.x", "port": 22, "username": "your_user_name", "password": "your_password", "key_path": "your_key" } ] ``` ### 3. 执行 启动主平台界面： ``` python main.py ``` ## MITRE ATT&CK 覆盖范围亮点 集成的检测引擎目前针对 35+ 种战术和技术评估目标遥测数据，包括但不限于： | 技术 ID | 名称 | |---|---| | T1110.001 | 密码猜测 (SSH 暴力破解) | | T1078.003 | 有效账户 (可疑的 Root 登录) | | T1548.003 | 滥用权限提升机制 (Sudo/Sudo 缓存) | | T1098.004 | 账户操纵 (SSH 授权密钥) | | T1070.003 | 主机上的痕迹清除 (清除命令历史记录) | | T1562.001 | 损害防御 (禁用防火墙/AppArmor) | | T1059.004 | 命令和脚本解释器 (无文件 Web 到 Bash 执行) | | T1485 | 数据破坏 (勒索软件行为) | ## 作者与版权 **0x-7aswa** — 网络安全工程师 © 2026 0x-7aswa. 保留所有权利。

标签：Cloudflare, CSV导出, MITRE ATT&CK, PB级数据处理, Python, SSH, 安全运维, 无后门, 逆向工具