FlynnMota/Gentlemen_Ransomware---Threat-Hunting
GitHub: FlynnMota/Gentlemen_Ransomware---Threat-Hunting
基于 Jupyter Notebook 的威胁狩猎项目,提供 KQL 查询来追踪 Gentlemen 勒索软件的防御规避行为。
Stars: 1 | Forks: 0
# Gentlemen 勒索软件
包含用于追踪防御规避技术的 KQL 查询的 Jupyter notebook。
## 📋 执行摘要
**攻击概述:**
Gentlemen 勒索软件分 5 个阶段运作:(1) 攻击面向互联网的应用 → (2) 枚举域 → (3) **禁用安全工具** → (4) 横向移动 → (5) 加密与外泄。本次追踪重点关注 **阶段 3(防御规避)**,这是最易被检测到且对中断攻击至关重要的环节。
**目标受众:** 使用 Microsoft Defender ATP 的 SOC 分析师、威胁猎手和安全工程师
**您将看到:**
- Gentlemen 勒索软件 (2025-2026) 如何在加密前系统地禁用防御
- 7 个实用的 KQL 追踪查询,用于检测您环境中的每个攻击阶段
- 映射到 MITRE ATT&CK 框架的入侵指标
- 针对您组织量身定制的减少误报的调优指南
**前置条件:**
- Microsoft Defender ATP(需要 Advanced Hunting 访问权限)
- 对 `DeviceProcessEvents`、`DeviceFileEvents`、`DeviceRegistryEvents`、`DeviceImageLoadEvents` 表的访问权限
- Windows Event Log 转发(推荐,但非必需)
标签:DNS 反向解析, KQL, Microsoft Defender, NoSQL, 勒索软件分析, 安全, 知识库安全, 超时处理, 防御规避检测