IgnacioSol/cobalt-strike-threat-intel

# Cobalt Strike — 威胁情报报告 ## 概述 一份分析 Cobalt Strike 的威胁情报报告，这是真实网络攻击中最普遍使用的命令与控制（C2）框架。本报告涵盖了 TTPs、检测策略、IOCs 以及为 SOC 分析师提供的补救指南。 ## 项目背景 这是网络安全作品集系列中的第三个项目： | # | 项目 | 重点 | |---|---------|-------| | 1 | [sigma-detection-rules](https://github.com/IgnacioSol/sigma-detection-rules) | 针对 4 种 MITRE ATT&CK 技术的 SIGMA 检测规则 | | 2 | [home-soc-investigation](https://github.com/IgnacioSol/home-soc-investigation) | 在 Splunk 中使用这些规则进行的 SOC 调查 | | 3 | **cobalt-strike-threat-intel**（本仓库） | 关于使用这些特定技术的工具的威胁情报报告 | ## 为什么是 Cobalt Strike？ Cobalt Strike 的后渗透能力直接对应于项目 1 中 SIGMA 规则所检测到的 MITRE ATT&CK 技术： - **T1003.001** — LSASS 凭据转储 - **T1059.001** — PowerShell 执行 - **T1547.001** — 注册表 Run 键持久化 - **T1021.001** — 远程桌面协议 (RDP) 本报告形成了闭环：**了解威胁 → 检测技术 → 调查事件**。 ## 仓库结构 ``` cobalt-strike-threat-intel/ ├── README.md ├── report/ │ └── threat-intel-report.md # Full threat intelligence report ├── iocs/ │ └── cobalt-strike-iocs.csv # IOCs in structured format ├── detection/ │ └── sigma-rule-mapping.md # Mapping to existing SIGMA rules └── references/ └── sources.md # All sources used ``` ## 作者 **Ignacio Solano** — 有志成为 SOC 分析师 [GitHub](https://github.com/IgnacioSol)

标签：OpenCanary, SOC分析, 威胁情报, 安全, 开发者工具, 攻防技术, 超时处理, 防御加固