xrobotblackhat-web/KRYBIT_sigma_rules
GitHub: xrobotblackhat-web/KRYBIT_sigma_rules
一套包含 Sigma、YARA 检测规则和 IOC feed 的威胁检测规则包,已映射 MITRE ATT&CK 技术,帮助安全团队在 SIEM 和恶意软件扫描场景中快速部署行为检测能力。
Stars: 0 | Forks: 0
# KryBit / 0APT 检测包
生成于 2026-07-02 16:03:39
## 目录
- **Sigma 规则**:`Sigma/` 中有 38 条行为驱动型规则,按战术分类。
- **YARA 规则**:`YARA/` 中有 5 条静态检测规则。
- **IOC feed**:`IOC_Feed.csv` 中的占位符列表。
- **ATT&CK 映射**:所有规则均在 `ATTACK_Mapping.csv` 中映射到 MITRE 技术。
## 用法
- 使用 `sigma-cli` 将 Sigma 规则转换为你的 SIEM 格式(Splunk、Elastic、Sentinel 等)。
- 将 YARA 规则整合到你的恶意软件扫描 pipeline 中。
- 使用来自 KryBit/0APT 情报的真实 indicators 填充 IOC feed。
## 调优
每个 Sigma 规则都包含 `falsepositives` 和 `level` 以指导调优。请根据你的环境调整阈值和白名单。
## 后续步骤
- 与 SOAR playbook 集成。
- 与网络检测(Suricata、Zeek)结合使用。
- 与 EDR 告警进行关联。
## 参考资料
- FBI/CISA Medusa 公告
- KryBit/0APT 泄露分析
标签:AMSI绕过, ATT&CK框架, IOC情报, Reconnaissance, Sigma规则, YARA, 云资产可视化, 威胁检测, 安全, 目标导入, 超时处理