AryaJayan448/mitre-attack-emotet-analysis

# mitre-attack-emotet-analysis 针对 Emotet 木马的 MITRE ATT&CK 威胁分析 & Sigma 检测规则 # Emotet 木马 - MITRE ATT&CK 威胁分析与检测实验室 ## 🎯 项目概述 本项目分析了 **Emotet 木马恶意软件**，并将攻击者使用的技术映射到了 **MITRE ATT&CK 框架**。随后，我为每种技术编写了 **Sigma 检测规则** —— 以此模拟 SOC 分析员的防御工作流。 **目标：** 了解攻击者的操作方式 → 构建检测规则 → 缩短事件响应时间 ## 📊 攻击摘要 | 指标 | 详细信息 | |--------|---------| | **恶意软件** | Emotet 木马 | | **传播方式** | 携带恶意附件的钓鱼邮件 | | **攻击阶段** | 8 个阶段 (初始访问 → 数据窃取) | | **映射的 MITRE 技术** | 8 项主要技术 | | **创建的检测规则** | 8 条 Sigma 规则 | | **生产就绪规则** | 3 条 (5 条需要针对特定环境调优) | ## 📁 仓库结构 ``` mitre-attack-emotet-analysis/ ├── README.md (this file) ├── QUICKSTART.md (quick overview for newcomers) ├── ATTACK_OUTLINE.md (attack phases overview) ├── EMOTET_ATTACK_MAPPING.md (detailed MITRE mapping - 8 techniques) ├── SIGMA_RULES_INDEX.md (index of all detection rules) ├── sigma-rules/ (folder with all detection rules) │ ├── rule-001-phishing.yml │ ├── rule-002-execution.yml │ ├── rule-003-persistence.yml │ ├── rule-004-defense-evasion.yml │ ├── rule-005-credential-access.yml │ ├── rule-006-lateral-movement.yml │ ├── rule-007-c2-communication.yml │ └── rule-008-exfiltration.yml ├── TESTING_RESULTS.md (validation results + false positive analysis) ├── LESSONS_LEARNED.md (key insights from the project) └── RESOURCES.md (references and learning materials) ``` ## 🚀 快速开始 ### 面向学习者 1. **从这里开始：** [快速入门](QUICKSTART.md) 2. **了解攻击：** [攻击大纲](ATTACK_OUTLINE.md) 3. **学习 MITRE 映射：** [Emotet 攻击映射](EMOTET_ATTACK_MAPPING.md) 4. **研究检测规则：** [Sigma 规则索引](SIGMA_RULES_INDEX.md) 5. **查看测试：** [测试结果](TESTING_RESULTS.md) ### 面向 SOC 专业人员 1. 查看 [Emotet 攻击映射](EMOTET_ATTACK_MAPPING.md) 获取 MITRE 背景 2. 将 `sigma-rules/` 中的规则部署到您的 SIEM 中 3. 参考 [测试结果](TESTING_RESULTS.md) 获取调优指南 4. 根据您的环境调整阈值 ### 面向面试准备 1. 理解 [Emotet 攻击映射](EMOTET_ATTACK_MAPPING.md)，以便在面试中阐述 MITRE 思维 2. 查看 `sigma-rules/`，以讨论检测规则的编写方法 3. 研究 [测试结果](TESTING_RESULTS.md)，以探讨误报与调优 4. 参考 [经验总结](LESSONS_LEARNED.md) 获取核心知识点 ## 🔍 什么是 Emotet？ Emotet 是一种复杂的木马恶意软件，它可以： - 通过携带恶意附件的钓鱼邮件进行传播 - 在受感染的系统上建立持久性 - 禁用安全工具（杀毒软件） - 窃取凭据和敏感数据 - 在网络中进行横向移动 - 与攻击者的命令与控制 (C2) 服务器通信 - 将窃取的数据回传给攻击者 **本项目将上述每个阶段映射到 MITRE ATT&CK 技术，并为防御者创建了相应的检测规则。** ## 📋 关键文件说明 ### ATTACK_OUTLINE.md 8 个攻击阶段的高层次概述。从这里开始了解攻击流程。 ### EMOTET_ATTACK_MAPPING.md **将所有 8 项攻击技术详细映射到 MITRE ATT&CK 框架。** 这是本项目的核心，展示了攻击者的每个动作如何映射到官方的 MITRE 技术，并附有指向该框架的链接。 ### SIGMA_RULES_INDEX.md 所有 8 条 Sigma 检测规则的索引，包含每条规则的状态、目的和 MITRE 映射。 ### sigma-rules/ (文件夹) 包含采用 YAML 格式的实际 Sigma 检测规则。这些是可部署到 SIEM 中的高质量生产规则。 ### TESTING_RESULTS.md 每条规则的验证结果。展示了： - 哪些规则已具备生产环境部署条件 - 误报评估 - 每条规则的调优指南 - 实际实施注意事项 ### LESSONS_LEARNED.md 构建本项目所获得的核心见解： - MITRE ATT&CK 在实践中的运作方式 - 为什么检测规则调优至关重要 - 如何平衡检测率与误报 - 这些知识的职业价值 ### RESOURCES.md 本项目中使用的参考资料、学习材料和工具的完整列表。 ## 🎯 每条检测规则的作用 | 规则 | 技术 | 检测内容 | |------|-----------|---------| | 规则 1 | T1566.001 (钓鱼) | 带有可执行文件附件的邮件 | | 规则 2 | T1204.002 (恶意文件执行) | 从临时文件夹启动的 .exe 程序 | | 规则 3 | T1053.005 (计划任务) | 可疑的计划任务创建 | | 规则 4 | T1562.001 (禁用杀毒软件) | Windows Defender 被禁用 | | 规则 5 | T1003.001 (凭据转储) | 对 LSASS 内存的访问 | | 规则 6 | T1021.002 (SMB 横向移动) | 连接到管理共享的 SMB 连接 | | 规则 7 | T1071.001 (C2 通信) | 可疑的出站 HTTPS 连接 | | 规则 8 | T1041 (数据窃取) | 向外部 IP 的大量数据传输 | ## 🛠️ 使用的技术 - **MITRE ATT&CK 框架** — 标准化的威胁分类 - **Sigma** — 与 SIEM 无关的检测规则格式 - **Git/GitHub** — 版本控制与文档管理 - **Markdown** — 文档格式 - **YAML** — 检测规则语法 ## 📈 项目统计 ``` Total Attack Phases Analyzed: 8 MITRE Techniques Mapped: 8 Sigma Detection Rules: 8 Documentation Files: 10+ GitHub Commits: 12+ Time Investment: 5-6 hours Project Duration: 1 week ``` ## 💡 核心经验 ### 1. MITRE ATT&CK 是标准语言 每个组织都使用 MITRE 对威胁进行分类。理解该框架对于 SOC 工作至关重要。 ### 2. 检测规则需要调优 编写规则很容易；但在没有误报的生产环境中让其稳定运行却很难。每个环境都是不同的。 ### 3. 早期检测更有效 在“初始访问”或“执行”阶段检测攻击，远比等待“数据窃取”阶段要好得多。 ### 4. 误报是最大敌人 过多的错误警报 = 告警疲劳 = 分析员忽视真正的威胁。规则调优至关重要。 ### 5. Sigma 规则具有可移植性 Sigma 规则可跨 Splunk、ELK、QRadar 及其他 SIEM 平台使用。学习 Sigma 能让你立刻展现出价值。 ## 🎓 展现的技能 ✅ **MITRE ATT&CK 框架** — 理解威胁分类 ✅ **威胁情报分析** — 分析真实的攻击模式 ✅ **Sigma 检测规则编写** — 生产级检测规则 ✅ **SOC 分析工作流** — 理解防御者运营 ✅ **技术文档撰写** — 清晰、专业的沟通 ✅ **Git/GitHub** — 版本控制与协作 ✅ **SIEM 概念** — 检测规则在实际中如何运作 ## 💼 职业应用 本项目可直接应用于： - **SOC 分析员 Tier 1/2/3** — 展现检测思维 - **威胁情报分析员** — 熟练掌握 MITRE 框架 - **检测工程师** — Sigma 规则编写专业技能 - **安全运营** — 实际的 SOC 工作流 - **事件响应** — 攻击链分析 **雇主看到这个项目就会知道你能够：** - 理解攻击方法论 - 编写可用于生产的检测规则 - 像防御者一样思考 - 清晰地传达技术发现 - 在安全领域具备自我驱动力与敬业精神 ## 🚀 如何部署这些规则 ### 在 Splunk 中 1. 复制 Sigma 规则 2. 转换为 Splunk 查询语言 (SPL) 3. 创建保存的搜索 (saved searches) 4. 设置告警 5. 监控并调优 ### 在 ELK Stack 中 1. 复制 Sigma 规则 2. 转换为 Elasticsearch 查询 3. 在 Kibana 中创建检测规则 4. 设置告警 5. 监控并调优 ### 在其他 SIEM 中 (QRadar, ArcSight 等) 1. 参考 `sigma-rules/` 文件夹 2. 将 YAML 语法转换为您的平台所支持的格式 3. 部署并测试 4. 参考 `TESTING_RESULTS.md` 获取调优指南 ## ⚠️ 重要说明 ### 误报 部分规则 (5-8) 在大多数环境中都会产生误报。这属于正常现象。请参考 `TESTING_RESULTS.md` 获取调优指南。 ### 针对特定环境的调优 这些规则属于模板。每个组织都需要： - 将合法的进程加入白名单 - 根据基线调整阈值 - 按已授权的用户/IP 进行过滤 - 对多个触发的规则进行关联分析 ### 规则有效性 - **高可信度规则：** 1, 2, 4 (低误报率) - **中等可信度规则：** 3, 6 (中等误报率) - **需要调优的规则：** 5, 7, 8 (不调优的情况下误报率较高) 详情请参阅 `TESTING_RESULTS.md`。 ## 📚 学习资源 ### MITRE ATT&CK - 官方网站：https://attack.mitre.org - Emotet 页面：https://attack.mitre.org/software/S0367/ - 战术与技术：https://attack.mitre.org/tactics/enterprise/ ### Sigma 检测规则 - Sigma 代码库：https://github.com/SigmaHQ/sigma - 规则规范：https://github.com/SigmaHQ/sigma/wiki/Specification - Sigma 在线验证器：https://sigmaonline.sigmahq.io/validator/ ### 威胁情报 - CISA 预警：https://www.cisa.gov/news-events/cybersecurity-advisories - Malwarebytes 研究：https://www.malwarebytes.com/ - MITRE 威胁报告：https://attack.mitre.org/resources/ ### 动手实践 - TryHackMe SOC 分析员路径：https://tryhackme.com/path/outline/soc-analyst - HackTheBox：https://www.hackthebox.com/ - CyberDefenders：https://cyberdefenders.org/ ## 🎯 后续步骤 ### 深入拓展本项目 1. **在 SIEM 中部署** — 针对真实/模拟流量测试规则 2. **分析其他恶意软件** — 将相同的方法论应用于 APT28、Trickbot 等 3. **创建关联规则** — 检测多条规则同时触发的情况 4. **为 SigmaHQ 做贡献** — 将您的规则提交到官方 Sigma 代码库 5. **建立检测实验室** — 搭建 ELK 或 Splunk 环境并运行这些规则 ### 用于职业发展 1. **在面试中引用** — “我已经使用 MITRE ATT&CK 分析过威胁……” 2. **在 LinkedIn 上分享** — 附上此 GitHub 项目的链接 3. **更新简历** — 添加至“安全项目”模块下 4. **拓展人脉** — 与安全专业人士交流探讨 5. **申请 SOC 岗位** — 将其作为能力的证明 ## 📊 项目状态 | 组件 | 状态 | 说明 | |-----------|--------|-------| | MITRE 映射 | ✅ 已完成 | 已映射所有 8 项技术 | | Sigma 规则 | ✅ 已完成 | 已编写并验证所有 8 条规则 | | 测试 | ✅ 已完成 | 误报评估已完成 | | 文档 | ✅ 已完成 | 为学习者和专业人士提供了完整文档 | | GitHub | ✅ 已完成 | 结构清晰的专业代码库 | **总体状态：** ✅ **已具备生产环境部署条件，可作为高质量作品集展示** ## 👤 作者 **Arya Jayan** 网络安全理学硕士 | 都柏林商学院 (Dublin Business School) 计算机应用硕士 (MCA) | 一等荣誉学位 ## 📞 联系与交流 - **GitHub:** github.com/AryaJayan448/mitre-attack-emotet-analysis - **LinkedIn:** linkedin.com/in/arya-jayan55 - **邮箱:** aryaj6212@gmail.com ## 📄 许可证 本项目为开源项目，可用于教育和专业目的。欢迎您： - ✅ 从分析中学习 - ✅ 在您的 SIEM 中使用这些检测规则 - ✅ 在面试中作为参考 - ✅ 根据您组织的需求进行调整 - ✅ 贡献改进 如果使用了这些规则，请注明原始代码库的来源。 ## 🙏 致谢 - 感谢 MITRE ATT&CK 框架提供的标准化威胁分类 - 感谢 SigmaHQ 提供 Sigma 检测规则格式 - 感谢 CISA 提供的威胁情报和事件报告 - 感谢 Malwarebytes 提供的详细 Emotet 分析 - 感谢开源安全社区

标签：DNS 反向解析, Emotet木马, IP 地址批量处理, pdftotext, Sigma规则, SOC分析, URL发现, 威胁分析, 安全检测, 恶意软件研究, 目标导入, 自动化侦查工具, 防御加固