xrobotblackhat-web/KRYBIT_sigma_rules

GitHub: xrobotblackhat-web/KRYBIT_sigma_rules

一套包含 Sigma、YARA 检测规则和 IOC feed 的威胁检测规则包,已映射 MITRE ATT&CK 技术,帮助安全团队在 SIEM 和恶意软件扫描场景中快速部署行为检测能力。

Stars: 0 | Forks: 0

# KryBit / 0APT 检测包 生成于 2026-07-02 16:03:39 ## 目录 - **Sigma 规则**:`Sigma/` 中有 38 条行为驱动型规则,按战术分类。 - **YARA 规则**:`YARA/` 中有 5 条静态检测规则。 - **IOC feed**:`IOC_Feed.csv` 中的占位符列表。 - **ATT&CK 映射**:所有规则均在 `ATTACK_Mapping.csv` 中映射到 MITRE 技术。 ## 用法 - 使用 `sigma-cli` 将 Sigma 规则转换为你的 SIEM 格式(Splunk、Elastic、Sentinel 等)。 - 将 YARA 规则整合到你的恶意软件扫描 pipeline 中。 - 使用来自 KryBit/0APT 情报的真实 indicators 填充 IOC feed。 ## 调优 每个 Sigma 规则都包含 `falsepositives` 和 `level` 以指导调优。请根据你的环境调整阈值和白名单。 ## 后续步骤 - 与 SOAR playbook 集成。 - 与网络检测(Suricata、Zeek)结合使用。 - 与 EDR 告警进行关联。 ## 参考资料 - FBI/CISA Medusa 公告 - KryBit/0APT 泄露分析
标签:AMSI绕过, ATT&CK框架, IOC情报, Reconnaissance, Sigma规则, YARA, 云资产可视化, 威胁检测, 安全, 目标导入, 超时处理