SynthicsoftLabs/Adaptive-Threat-Hunt

# 自适应威胁狩猎与自动加固 (兼容 CLM) **由 Synthicsoft Labs 和 Adam Rivers 开发** 一款专为强制执行**约束语言模式 (CLM)** 的高安全性环境设计的综合 PowerShell 安全工具。此脚本通过将本地系统数据与全球威胁情报源进行交叉比对来执行自动化威胁狩猎，并仅使用 Windows 原生二进制文件和已批准的 cmdlet 来应用主动的加固措施。 ## 功能 ### 1. 机器指纹提取 * 详细的硬件和软件配置分析（CPU、GPU、RAM、BIOS、TPM）。 * 获取 OS 构建信息和唯一标识符以进行跟踪。 ### 2. 自动化威胁情报摄取 * **CISA KEV：** 下载并解析已知被利用漏洞目录。 * **NVD CVE API v2：** 实时查询 NIST 国家漏洞数据库，获取特定硬件和软件的漏洞信息。 * **MalwareBazaar：** 将正在运行的进程哈希与已知的恶意软件样本进行比对。 * **ThreatFox：** 将已建立的网络连接与已知的恶意 IOC 进行交叉比对。 * **URLhaus：** 扫描 DNS 缓存，查找与恶意软件分发相关的域名。 ### 3. 主动系统加固 * **Microsoft Defender：** 启用实时保护、ASR 规则和云端扫描。 * **内核缓解措施：** 配置内存完整性 (HVCI) 和基于虚拟化的安全性 (VBS)。 * **凭据保护：** 启用 LSASS RunAsPPL 并禁用 WDigest 明文凭据。 * **网络强化：** 禁用 LLMNR、SMBv1 和 RDP；拦截常见的恶意端口。 * **审计与日志记录：** 实施高级审计策略和 PowerShell 脚本块/模块日志记录。 ### 4. 自动化调度 * 通过 `schtasks.exe` 自动创建计划任务，每周运行一次狩猎和加固流程。 ## CLM 兼容性 此脚本专门设计用于在 **PowerShell 约束语言模式**下运行。它避免了所有受限操作，例如： * `Add-Type` 和直接的 .NET 反射。 * 直接实例化非核心 .NET 类。 * 对非核心类型（例如 `[math]` 或 `[uri]`）调用静态方法。 * 创建 COM 对象（除非通过已批准的 cmdlet）。 相反，它利用了： * Windows 原生二进制文件（`reg.exe`、`sc.exe`、`certutil.exe`、`netsh.exe`、`auditpol.exe`）。 * 已批准的 CIM/WMI cmdlet 用于系统发现。 * `Invoke-RestMethod` 和 `Invoke-WebRequest` 进行 API 交互。 ## 环境要求 * **OS：** Windows 10/11（兼容 Canary/Insider 版本）。 * **权限：** 必须以**管理员**身份运行。 * **网络访问：** 摄取威胁源（NVD、CISA、abuse.ch）时需要。 ## 使用方法 1. 打开提升权限的 PowerShell 提示符（以管理员身份运行）。 2. （可选）如果在 CLM 下进行测试，请设置会话模式： $ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage" 3. 执行脚本： .\AdaptiveThreatHunt_Final.ps1 ## 输出 * **控制台：** 实时、带颜色标记的狩猎阶段和加固操作日志。 * **报告：** 详细的文本报告将保存到 `C:\AdaptiveHunt_YYYYMMDD_HHMMSS.txt`。 * **缓存：** 威胁源会临时缓存在 `%TEMP%\Feeds_YYYYMMDD_HHMMSS` 中。 ## 免责声明 此工具会应用重要的系统加固措施。虽然专为安全设计，但某些设置（如禁用 Print Spooler 或 RDP）可能会影响特定的工作流。在生产环境中部署之前，请先查看 `PHASE 4` 加固代码块。 由 **Synthicsoft Labs** 的 **Adam Rivers** 开发。 *专为安全研究员和系统管理员打造。*

标签：AI合规, IPv6, Libemu, OpenCanary, PowerShell, 后渗透, 威胁情报, 开发者工具, 无线安全, 系统加固