Justice-Hammer/threat-hunting-detections
GitHub: Justice-Hammer/threat-hunting-detections
基于真实事件响应案例的威胁狩猎检测规则、狩猎手册与攻击技术研究合集,提供多平台查询翻译和验证说明。
Stars: 0 | Forks: 0
# 威胁狩猎检测
来自真实事件响应和威胁狩猎活动的生产级检测、狩猎手册和研究笔记。所有内容均为 TLP:GREEN,可安全公开发布。
## 关于
我是一名威胁猎手和事件响应人员。这个仓库是我发布已完成工作的地方,包括:在真实入侵中触发的检测、基于实际攻击者行为构建的狩猎手册,以及对我必须深入了解才能进行检测的攻击技术的研究笔记。
这里的所有内容最初都是内部案例工作。在发布之前,案例都经过了脱敏处理:没有客户名称、没有受害者标识符、没有专有上下文。留下的是专业技能:检测逻辑、狩猎查询、TTP 分析(我认为这些对社区来说比案例细节更有用)。
### 包含内容
| 文件夹 | 内容 |
|---|---|
| `20-detections/` | 完成的检测规则,包含多平台 Sigma + KQL/SPL/ES\|QL/LogScale 翻译 |
| `10-hunts/` | 狩猎假设 -> 查询 -> 发现 -> 检测手册 |
| `30-research/` | 为检测或狩猎提供支持的攻击技术深度剖析 |
| `indicators/` | TLP:GREEN 行为和工具包级别的 CSV 格式指标 —— 基础设施 IOC 仅在公开供应商归因后发布 |
| `scripts/` | 独立调查工具:CT 日志时间线构建器、S3 公共存储桶探测、域名注册批量关联器 |
### 检测格式
每个检测均以 **Sigma**(权威版本)发布,并提供适用于 Microsoft Defender / KQL、Elastic ES\|QL、Splunk SPL 和 CrowdStrike LogScale 的翻译。每条规则均包含误报上下文和验证说明。我只发布已通过真实遥测数据或受控实验室环境验证的检测。
### 目前覆盖范围
- **ClickFix / 虚假 CAPTCHA 投递链**(PowerShell IRM、msiexec LOLBin、finger.exe LOLBin)
- **NetSupport RAT 和 CastleLoader/CastleRAT 投递**(EVALUSION 和 GrayBravo MaaS 生态系统)
- **启动文件夹持久化**(用户可写,无需提权)
- **基础设施侦察**(PBN 链接注入,用于 C2 域名声誉洗白)
- **杀猪盘即服务 (PBaaS)**(Vue.js 虚假交易平台指纹、多租户 S3 基础设施、被动 OSINT 狩猎方法论)
欢迎提交 Issues 和 PR。如果查询在您的环境中不适用,或者翻译有误,请提交 issue。
### 联系方式
- justice-hammer.pancake566@passmail.net
- 威胁猎手 | 检测工程师
- 如果您是攻击者/对手,我为打乱了您的攻击活动而道歉。
标签:Sigma规则, 威胁情报, 安全响应, 开发者工具, 目标导入, 网络安全, 逆向工具, 隐私保护