FlynnMota/Gentlemen_Ransomware---Threat-Hunting

GitHub: FlynnMota/Gentlemen_Ransomware---Threat-Hunting

基于 Jupyter Notebook 的威胁狩猎项目,提供 KQL 查询来追踪 Gentlemen 勒索软件的防御规避行为。

Stars: 1 | Forks: 0

# Gentlemen 勒索软件 包含用于追踪防御规避技术的 KQL 查询的 Jupyter notebook。 ## 📋 执行摘要 **攻击概述:** Gentlemen 勒索软件分 5 个阶段运作:(1) 攻击面向互联网的应用 → (2) 枚举域 → (3) **禁用安全工具** → (4) 横向移动 → (5) 加密与外泄。本次追踪重点关注 **阶段 3(防御规避)**,这是最易被检测到且对中断攻击至关重要的环节。 **目标受众:** 使用 Microsoft Defender ATP 的 SOC 分析师、威胁猎手和安全工程师 **您将看到:** - Gentlemen 勒索软件 (2025-2026) 如何在加密前系统地禁用防御 - 7 个实用的 KQL 追踪查询,用于检测您环境中的每个攻击阶段 - 映射到 MITRE ATT&CK 框架的入侵指标 - 针对您组织量身定制的减少误报的调优指南 **前置条件:** - Microsoft Defender ATP(需要 Advanced Hunting 访问权限) - 对 `DeviceProcessEvents`、`DeviceFileEvents`、`DeviceRegistryEvents`、`DeviceImageLoadEvents` 表的访问权限 - Windows Event Log 转发(推荐,但非必需)
标签:DNS 反向解析, KQL, Microsoft Defender, NoSQL, 勒索软件分析, 安全, 知识库安全, 超时处理, 防御规避检测