ahmad-shakla/The-Gentlemen-Threat-Hunting-Playbook
GitHub: ahmad-shakla/The-Gentlemen-Threat-Hunting-Playbook
针对 The Gentlemen 勒索软件集群的社区威胁狩猎参考库,提供经过验证的 Sigma 检测规则、多 SIEM 平台狩猎查询和 ATT&CK 覆盖率映射。
Stars: 0 | Forks: 0
# The Gentlemen 勒索软件集群 — 检测工程与威胁狩猎
针对 **The Gentlemen** 勒索软件集群的社区威胁情报产品
(Conti → Black Basta → Qilin → 独立 Locker 谱系,自 2025 年末活跃):
完整的杀伤链 ATT&CK 映射、经过验证的 Sigma 检测规则、支持三种 SIEM 语言的即用型狩猎
查询,以及循序渐进的狩猎手册 — 完全基于公开的供应商报告构建,不涉及任何
实时恶意软件、漏洞或易受攻击的驱动程序
(参见 [`docs/scope_and_ethics.md`](docs/scope_and_ethics.md))。
## 为什么会有这个项目
供应商的 DFIR 报告(Check Point、Halcyon、Microsoft)详细记录了该集群的 TTP,但
并没有为其中大多数 TTP 提供可直接部署的检测内容,而且
它们都没有将这些线索串联成一个随时可用的狩猎包。这个仓库做了
源报告都没有做的三件事:
1. **将每个记录在案的 TTP 映射到当前的 MITRE ATT&CK 技术 ID**,并根据
实际的检测覆盖率(而不仅仅是“存在此检测”)进行颜色编码,作为一个可导入的 Navigator 层。
2. **使用 pySigma 针对合成测试事件验证每一条 Sigma 规则** — 而不仅仅是
“这里有一些 YAML”,而是证明检测逻辑能在正确的目标上触发,并且
不会在良性的相似项上触发(在此过程中发现并修复了一个真实的误报 Bug —
详见实验报告)。
3. **记录了一个真实的缺口**:`ThrottleBlood.sys`,该集群用于终止 EDR 的
驱动程序,截至撰写本文时,在 LOLDrivers 社区数据库中没有已发布的 hash — 这意味着
黄金标准的检测方法(hash 匹配)目前对它
是盲区。参见 [`docs/loldrivers_gap.md`](docs/loldrivers_gap.md)。
## 仓库包含什么
```
navigator/ ATT&CK Navigator layer (import at mitre-attack.github.io/attack-navigator)
sigma_rules/ 9 Sigma rules (7 single-event + 1 correlation rule, 2 logical groupings)
hunting_queries/ Auto-converted Splunk SPL / Sentinel KQL / Elastic Lucene + verification notes
log_simulation/ Synthetic event generator + pySigma-based validator (proof the rules work)
docs/ Threat hunting playbook, LOLDrivers gap writeup, scope & ethics, lab report
```
## 快速开始
**1. 查看覆盖率概览:**在
[ATT&CK Navigator](https://mitre-attack.github.io/attack-navigator/) 打开 `navigator/gentlemen_navigator_layer.json`(“Open Existing
Layer” → 从本地上传)。
**2. 进行狩猎:**从 [`docs/threat_hunting_playbook.md`](docs/threat_hunting_playbook.md) 开始
— 包含 9 个按杀伤链顺序排列的狩猎项,每个都包含假设、即用型查询以及下一步的
切入点。
**3. 部署规则:**直接从 `hunting_queries/{splunk_spl,
sentinel_kql, elastic_lucene}.txt` 获取查询,或者自行转换 Sigma 源码:
```
pip install pysigma pysigma-backend-splunk pysigma-backend-kusto pysigma-backend-elasticsearch --break-system-packages
cd hunting_queries
python3 generate_hunting_queries.py
```
**在部署任何内容之前:请阅读 [`hunting_queries/VERIFICATION_NOTES.md`](hunting_queries/VERIFICATION_NOTES.md)。**
自动转换的查询是真实的转换器输出,而非手工敷衍了事 — 但其中有一个
需要手动修复括号,以避免在 Splunk 的 `search` 命令
评估 AND/OR 优先级时出现布尔分组的 Bug。那里有详细的记录,因为“信任但要验证
转换器”是一个值得保持可见的真实经验教训,而不是
默默打补丁并隐藏起来。
**4. 自行验证:**
```
cd log_simulation
python3 synthetic_log_generator.py --out events.json --scenario all
python3 validate_rules.py
```
预期所有 10 个规则定义(分布在 9 个命名规则中)都能成功解析和转换,
在预期的合成攻击模式事件上触发,并在应用文档记录的修复后,
在良性相似项集上产生零误报。
## ATT&CK 覆盖率概览
| 阶段 | 技术 | 覆盖率 |
|---|---|---|
| 初始访问 | T1190 (FortiGate CVE-2024-55591), T1133 | 无 — 属于边界/供应商日志领域 |
| 凭证访问 | T1110, T1552.001 | 仅狩猎查询 |
| 权限提升 | T1078.002, T1068, T1484.001 | 混合 — T1068/T1484.001 具有经过验证的 Sigma 规则 |
| 持久化 | T1543.003, T1053.005, T1546.003 | 经过验证的 Sigma 规则 |
| 防御规避 | T1562.001, T1562.002, T1014 | T1562.001 具有经过验证的规则(包含记录在案的误报修复) |
| 发现 / 横向移动 | T1018, T1021.002, T1047 | Sigma 关联规则 + 单事件规则 |
| 影响 | T1486, T1490 | 无 — 属于行为/EDR 领域,已作为限制记录在案 |
完整的详细信息,包括*为什么*每个缺口是缺口(而不仅仅是它存在),在
Navigator 层的逐技术注释和狩猎手册中。
# 一个值得强调的发现
**`ThrottleBlood.sys` 在 LOLDrivers 中没有公开的 hash。** 这个仓库中每一个涉及 BYOVD 检测的 Sigma 规则,都是为了在通过负责任的方式获取并发布该 hash 的那一刻能够直接插入而构建的 — 参见 `docs/loldrivers_gap.md` 了解完整的推理以及
建议的(未执行的)通过正式的 LOLDrivers PR 来填补该缺口的途径。
## 参考资料
- https://www.loldrivers.io/
- https://github.com/magicswordio/LOLDrivers/blob/main/detections/sigma/driver_load_win_vuln_drivers.yml
- https://research.checkpoint.com/2026/dfir-report-the-gentlemen/
- https://www.halcyon.ai/ransomware-research-reports/threatassessment-the-gentlemen-ransomware-group
- https://www.microsoft.com/en-us/security/blog/2026/05/28/the-gentlemen-ransomware-dissecting-a-self-propagating-go-encryptor/
- https://github.com/SigmaHQ/pySigma
- https://github.com/SigmaHQ/sigma-specification (correlation rules spec)
- https://attack.mitre.org/
## 许可 / 署名
基于公开报告构建,供社区防御使用。如果您使用或扩展此项目,
欢迎提供指向此处的链接,但这并非必须。欢迎提交 Pull request,特别是如果您对
此仓库中的规则进行了 SIEM 原生测试,或者通过合法渠道获取了 `ThrottleBlood.sys`
经过验证的 hash。
标签:DNS 反向解析, IP 地址批量处理, Sigma规则, 威胁情报, 安全, 开发者工具, 目标导入, 知识库安全, 超时处理, 逆向工具