ahmad-shakla/The-Gentlemen-Threat-Hunting-Playbook

GitHub: ahmad-shakla/The-Gentlemen-Threat-Hunting-Playbook

针对 The Gentlemen 勒索软件集群的社区威胁狩猎参考库,提供经过验证的 Sigma 检测规则、多 SIEM 平台狩猎查询和 ATT&CK 覆盖率映射。

Stars: 0 | Forks: 0

# The Gentlemen 勒索软件集群 — 检测工程与威胁狩猎 针对 **The Gentlemen** 勒索软件集群的社区威胁情报产品 (Conti → Black Basta → Qilin → 独立 Locker 谱系,自 2025 年末活跃): 完整的杀伤链 ATT&CK 映射、经过验证的 Sigma 检测规则、支持三种 SIEM 语言的即用型狩猎 查询,以及循序渐进的狩猎手册 — 完全基于公开的供应商报告构建,不涉及任何 实时恶意软件、漏洞或易受攻击的驱动程序 (参见 [`docs/scope_and_ethics.md`](docs/scope_and_ethics.md))。 ## 为什么会有这个项目 供应商的 DFIR 报告(Check Point、Halcyon、Microsoft)详细记录了该集群的 TTP,但 并没有为其中大多数 TTP 提供可直接部署的检测内容,而且 它们都没有将这些线索串联成一个随时可用的狩猎包。这个仓库做了 源报告都没有做的三件事: 1. **将每个记录在案的 TTP 映射到当前的 MITRE ATT&CK 技术 ID**,并根据 实际的检测覆盖率(而不仅仅是“存在此检测”)进行颜色编码,作为一个可导入的 Navigator 层。 2. **使用 pySigma 针对合成测试事件验证每一条 Sigma 规则** — 而不仅仅是 “这里有一些 YAML”,而是证明检测逻辑能在正确的目标上触发,并且 不会在良性的相似项上触发(在此过程中发现并修复了一个真实的误报 Bug — 详见实验报告)。 3. **记录了一个真实的缺口**:`ThrottleBlood.sys`,该集群用于终止 EDR 的 驱动程序,截至撰写本文时,在 LOLDrivers 社区数据库中没有已发布的 hash — 这意味着 黄金标准的检测方法(hash 匹配)目前对它 是盲区。参见 [`docs/loldrivers_gap.md`](docs/loldrivers_gap.md)。 ## 仓库包含什么 ``` navigator/ ATT&CK Navigator layer (import at mitre-attack.github.io/attack-navigator) sigma_rules/ 9 Sigma rules (7 single-event + 1 correlation rule, 2 logical groupings) hunting_queries/ Auto-converted Splunk SPL / Sentinel KQL / Elastic Lucene + verification notes log_simulation/ Synthetic event generator + pySigma-based validator (proof the rules work) docs/ Threat hunting playbook, LOLDrivers gap writeup, scope & ethics, lab report ``` ## 快速开始 **1. 查看覆盖率概览:**在 [ATT&CK Navigator](https://mitre-attack.github.io/attack-navigator/) 打开 `navigator/gentlemen_navigator_layer.json`(“Open Existing Layer” → 从本地上传)。 **2. 进行狩猎:**从 [`docs/threat_hunting_playbook.md`](docs/threat_hunting_playbook.md) 开始 — 包含 9 个按杀伤链顺序排列的狩猎项,每个都包含假设、即用型查询以及下一步的 切入点。 **3. 部署规则:**直接从 `hunting_queries/{splunk_spl, sentinel_kql, elastic_lucene}.txt` 获取查询,或者自行转换 Sigma 源码: ``` pip install pysigma pysigma-backend-splunk pysigma-backend-kusto pysigma-backend-elasticsearch --break-system-packages cd hunting_queries python3 generate_hunting_queries.py ``` **在部署任何内容之前:请阅读 [`hunting_queries/VERIFICATION_NOTES.md`](hunting_queries/VERIFICATION_NOTES.md)。** 自动转换的查询是真实的转换器输出,而非手工敷衍了事 — 但其中有一个 需要手动修复括号,以避免在 Splunk 的 `search` 命令 评估 AND/OR 优先级时出现布尔分组的 Bug。那里有详细的记录,因为“信任但要验证 转换器”是一个值得保持可见的真实经验教训,而不是 默默打补丁并隐藏起来。 **4. 自行验证:** ``` cd log_simulation python3 synthetic_log_generator.py --out events.json --scenario all python3 validate_rules.py ``` 预期所有 10 个规则定义(分布在 9 个命名规则中)都能成功解析和转换, 在预期的合成攻击模式事件上触发,并在应用文档记录的修复后, 在良性相似项集上产生零误报。 ## ATT&CK 覆盖率概览 | 阶段 | 技术 | 覆盖率 | |---|---|---| | 初始访问 | T1190 (FortiGate CVE-2024-55591), T1133 | 无 — 属于边界/供应商日志领域 | | 凭证访问 | T1110, T1552.001 | 仅狩猎查询 | | 权限提升 | T1078.002, T1068, T1484.001 | 混合 — T1068/T1484.001 具有经过验证的 Sigma 规则 | | 持久化 | T1543.003, T1053.005, T1546.003 | 经过验证的 Sigma 规则 | | 防御规避 | T1562.001, T1562.002, T1014 | T1562.001 具有经过验证的规则(包含记录在案的误报修复) | | 发现 / 横向移动 | T1018, T1021.002, T1047 | Sigma 关联规则 + 单事件规则 | | 影响 | T1486, T1490 | 无 — 属于行为/EDR 领域,已作为限制记录在案 | 完整的详细信息,包括*为什么*每个缺口是缺口(而不仅仅是它存在),在 Navigator 层的逐技术注释和狩猎手册中。 # 一个值得强调的发现 **`ThrottleBlood.sys` 在 LOLDrivers 中没有公开的 hash。** 这个仓库中每一个涉及 BYOVD 检测的 Sigma 规则,都是为了在通过负责任的方式获取并发布该 hash 的那一刻能够直接插入而构建的 — 参见 `docs/loldrivers_gap.md` 了解完整的推理以及 建议的(未执行的)通过正式的 LOLDrivers PR 来填补该缺口的途径。 ## 参考资料 - https://www.loldrivers.io/ - https://github.com/magicswordio/LOLDrivers/blob/main/detections/sigma/driver_load_win_vuln_drivers.yml - https://research.checkpoint.com/2026/dfir-report-the-gentlemen/ - https://www.halcyon.ai/ransomware-research-reports/threatassessment-the-gentlemen-ransomware-group - https://www.microsoft.com/en-us/security/blog/2026/05/28/the-gentlemen-ransomware-dissecting-a-self-propagating-go-encryptor/ - https://github.com/SigmaHQ/pySigma - https://github.com/SigmaHQ/sigma-specification (correlation rules spec) - https://attack.mitre.org/ ## 许可 / 署名 基于公开报告构建,供社区防御使用。如果您使用或扩展此项目, 欢迎提供指向此处的链接,但这并非必须。欢迎提交 Pull request,特别是如果您对 此仓库中的规则进行了 SIEM 原生测试,或者通过合法渠道获取了 `ThrottleBlood.sys` 经过验证的 hash。
标签:DNS 反向解析, IP 地址批量处理, Sigma规则, 威胁情报, 安全, 开发者工具, 目标导入, 知识库安全, 超时处理, 逆向工具