building-soc-playbook-for-ransomware

构建结构化的 SOC 勒索软件攻击事件响应手册,涵盖检测、遏制、根除和恢复阶段, 包含特定的 SIEM 查询、隔离流程和决策树。适用于 SOC 团队需要符合 NIST SP 800-61 和 MITRE ATT&CK 勒索软件技术的规范化响应流程时。

9 stars

Best use case

building-soc-playbook-for-ransomware is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

构建结构化的 SOC 勒索软件攻击事件响应手册,涵盖检测、遏制、根除和恢复阶段, 包含特定的 SIEM 查询、隔离流程和决策树。适用于 SOC 团队需要符合 NIST SP 800-61 和 MITRE ATT&CK 勒索软件技术的规范化响应流程时。

Teams using building-soc-playbook-for-ransomware should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/building-soc-playbook-for-ransomware/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/building-soc-playbook-for-ransomware/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/building-soc-playbook-for-ransomware/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How building-soc-playbook-for-ransomware Compares

Feature / Agentbuilding-soc-playbook-for-ransomwareStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

构建结构化的 SOC 勒索软件攻击事件响应手册,涵盖检测、遏制、根除和恢复阶段, 包含特定的 SIEM 查询、隔离流程和决策树。适用于 SOC 团队需要符合 NIST SP 800-61 和 MITRE ATT&CK 勒索软件技术的规范化响应流程时。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 构建 SOC 勒索软件响应手册

## 适用场景

以下情况使用本技能:
- SOC 团队需要为一至三级分析师制定标准化的勒索软件响应手册
- 组织缺乏文档化的勒索软件遏制和恢复流程
- 桌面推演(Tabletop Exercise)发现勒索软件响应协调中的差距
- 合规要求(NIST CSF、ISO 27001)强制要求文档化的事件响应手册

**不适用于**将本手册作为活跃勒索软件事件的唯一响应指南——在事件发生前必须提前测试和演练预构建的手册。

## 前置条件

- 具备端点和网络数据的 SIEM 平台(Splunk ES、Elastic Security 或 Sentinel)
- 具有网络隔离能力的 EDR 解决方案(CrowdStrike、SentinelOne 或 Microsoft Defender for Endpoint)
- 具有经过测试的恢复流程和离线/不可变备份的备份基础设施
- 与法务、高管领导层和外部 IR 顾问的通信计划及联系人
- 勒索软件技术链的 MITRE ATT&CK 知识

## 工作流程

### 步骤 1:定义检测触发条件

创建针对早期勒索软件指标的 SIEM 检测规则:

**批量文件加密检测(Splunk):**
```spl
index=sysmon EventCode=11
| bin _time span=1m
| stats dc(TargetFilename) AS unique_files, values(TargetFilename) AS sample_files by Computer, Image, _time
| where unique_files > 100
| eval suspicious_extensions = if(match(mvjoin(sample_files, ","), "\.(encrypted|locked|crypt|enc|ransom)"), "YES", "NO")
| where suspicious_extensions="YES" OR unique_files > 500
| sort - unique_files
```

**卷影副本删除(T1490):**
```spl
index=wineventlog sourcetype="WinEventLog:Security" OR index=sysmon EventCode=1
(CommandLine="*vssadmin*delete*shadows*" OR CommandLine="*wmic*shadowcopy*delete*"
 OR CommandLine="*bcdedit*/set*recoveryenabled*no*" OR CommandLine="*wbadmin*delete*catalog*")
| table _time, Computer, User, ParentImage, Image, CommandLine
```

**勒索软件说明文件创建:**
```spl
index=sysmon EventCode=11
 TargetFilename IN ("*README*.txt", "*DECRYPT*.txt", "*RANSOM*.txt", "*RECOVER*.html", "*HOW_TO*.txt")
| stats count by Computer, Image, TargetFilename
| where count > 5
```

**Elastic Security EQL 变体:**
```eql
sequence by host.name with maxspan=2m
  [process where event.type == "start" and
    process.args : ("*vssadmin*", "*delete*", "*shadows*")]
  [file where event.type == "creation" and
    file.name : ("*README*DECRYPT*", "*RANSOM*", "*HOW_TO_RECOVER*")]
```

### 步骤 2:构建分诊决策树

```
勒索软件告警分诊
│
├── 加密是否正在进行?
│   ├── 是 → 立即:从网络隔离主机(步骤 3)
│   │         不要关机(保留内存用于取证)
│   └── 否 → 这是加密前的指标吗?
│       ├── 卷影副本删除 → 高优先级:隔离并调查
│       ├── 已知勒索软件哈希 → 高优先级:封锁哈希,全企业扫描
│       └── 可疑进程行为 → 中优先级:调查,准备隔离
│
├── 受影响主机数量?
│   ├── 单台主机 → 已控制事件,执行主机隔离流程
│   ├── 多台主机(2-10 台)→ 升级至二级,启动全企业扫描
│   └── 全企业(>10 台)→ 启动完整 IR 团队,联系外部顾问
│
└── 数据外泄是否已确认?
    ├── 是 → 双重勒索场景,联系法务进行泄露通知
    └── 否/未知 → 检查 Cobalt Strike/C2 信标,审查出站传输
```

### 步骤 3:遏制流程

**通过 EDR 进行网络隔离(CrowdStrike Falcon):**
```bash
# 使用 CrowdStrike Falcon API 隔离主机
curl -X POST "https://api.crowdstrike.com/devices/entities/devices-actions/v2?action_name=contain" \
  -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"ids": ["device_id_here"]}'
```

**通过 Microsoft Defender for Endpoint 进行网络隔离:**
```powershell
# 通过 MDE API 隔离机器
$headers = @{Authorization = "Bearer $token"}
$body = @{Comment = "Ransomware containment - IR-2024-0500"; IsolationType = "Full"} | ConvertTo-Json
Invoke-RestMethod -Uri "https://api.securitycenter.microsoft.com/api/machines/$machineId/isolate" `
    -Method Post -Headers $headers -Body $body -ContentType "application/json"
```

**防火墙紧急规则:**
```
# Palo Alto — 阻止 SMB 横向扩散
set rulebase security rules RansomwareContainment from Trust to Trust
set rulebase security rules RansomwareContainment application ms-ds-smb
set rulebase security rules RansomwareContainment action deny
set rulebase security rules RansomwareContainment disabled no
commit
```

**Active Directory 紧急操作:**
```powershell
# 禁用被攻陷账号
Disable-ADAccount -Identity "compromised_user"

# 重置 Kerberos TGT(如果域管理员被攻陷)
# 警告:这将重置 krbtgt,需要间隔 12 小时以上重置两次
Reset-KrbtgtKeys -Server "DC-PRIMARY" -Force

# 通过禁用远程服务阻止横向移动
Set-Service -Name "RemoteRegistry" -StartupType Disabled -Status Stopped
```

### 步骤 4:证据采集与保全

在修复之前采集取证证据:

```powershell
# 捕获运行中的进程和网络连接
Get-Process | Export-Csv "C:\IR\processes_$(hostname).csv"
Get-NetTCPConnection | Export-Csv "C:\IR\netstat_$(hostname).csv"

# 捕获内存转储(如果主机仍在运行)
winpmem_mini_x64.exe C:\IR\memory_$(hostname).raw

# 采集勒索软件证据
Copy-Item "C:\Users\*\Desktop\*README*" "C:\IR\ransom_notes\" -Recurse
Copy-Item "C:\Users\*\Desktop\*.encrypted" "C:\IR\encrypted_samples\" -Force

# 捕获事件日志
wevtutil epl Security "C:\IR\Security_$(hostname).evtx"
wevtutil epl System "C:\IR\System_$(hostname).evtx"
wevtutil epl "Microsoft-Windows-Sysmon/Operational" "C:\IR\Sysmon_$(hostname).evtx"
```

### 步骤 5:根除与恢复

**识别勒索软件变体:**
- 将加密样本和勒索说明上传至 ID Ransomware (https://id-ransomware.malwarehunterteam.com/)
- 在 No More Ransom Project (https://www.nomoreransom.org/) 检查可用解密工具
- 在 MalwareBazaar 搜索勒索软件家族 IOC

**在 Splunk 中进行全企业 IOC 扫描:**
```spl
index=sysmon (EventCode=1 OR EventCode=11 OR EventCode=3)
(TargetFilename="*ransomware_binary_name*" OR sha256="KNOWN_HASH"
 OR DestinationIp="C2_IP_ADDRESS" OR CommandLine="*malicious_command*")
| stats count by Computer, EventCode, Image, CommandLine
| sort - count
```

**从备份恢复:**
1. 验证备份完整性(离线/不可变备份未受影响)
2. 从已知良好镜像重建受影响系统
3. 从最后干净备份恢复数据
4. 在重新连接到网络前验证已恢复系统
5. 对已恢复系统监控 72 小时以防止再次感染

### 步骤 6:事后文档

以经验教训结构化手册结论:

```
事后复盘模板
1. 事件时间线(从检测到完全恢复)
2. 初始入侵向量识别
3. 驻留时间分析(从初始入侵到加密的时间)
4. 已识别的检测差距
5. 响应效率指标(MTTD、MTTC、MTTR)
6. 建议的手册改进措施
7. 已部署的新检测规则
8. 备份和恢复流程更新
```

## 核心概念

| 术语 | 定义 |
|------|-----------|
| **双重勒索(Double Extortion)** | 将数据加密与数据窃取相结合的勒索软件策略,威胁若不支付赎金则公开数据 |
| **驻留时间(Dwell Time)** | 从初始入侵到检测之间的时长——勒索软件运营者平均在加密前潜伏 5-9 天 |
| **MTTC** | 平均遏制时间——从检测到成功隔离受影响系统的时间 |
| **杀伤链(Kill Chain)** | 勒索软件攻击进程:初始访问 -> 执行 -> 持久化 -> 权限提升 -> 横向移动 -> 数据收集 -> 外泄 -> 影响 |
| **不可变备份(Immutable Backup)** | 在规定保留期内无法修改或删除的备份存储(WORM 存储) |
| **RTO/RPO** | 恢复时间目标/恢复点目标——最大可接受的停机时间和数据丢失阈值 |

## 工具与系统

- **CrowdStrike Falcon / SentinelOne**:具备网络隔离、进程终止和威胁狩猎能力的 EDR 平台
- **Splunk ES / Elastic Security**:用于检测规则部署和全企业 IOC 扫描的 SIEM 平台
- **ID Ransomware**:通过加密文件样本和勒索说明识别勒索软件变体的在线服务
- **No More Ransom Project**:Europol 支持的计划,为已知勒索软件家族提供免费解密工具
- **Veeam / Rubrik**:支持不可变备份和即时恢复能力的企业级备份解决方案

## 常见场景

- **LockBit 攻击**:通过 SMB 横向移动和批量文件加密检测——隔离并扫描 Cobalt Strike 信标
- **BlackCat/ALPHV**:通过创建勒索软件说明文件检测——检查通过 Rclone 或 Mega 上传的数据外泄
- **Conti/Royal**:通过卷影副本删除检测——检查是否存在 BazarLoader/Emotet 初始访问
- **RansomHub**:通过异常进程执行检测——调查是否存在被攻陷的 VPN 或 RDP 凭据
- **Play Ransomware**:通过服务账号滥用检测——审计 AD 中新创建的账号和组成员变更

## 输出格式

```
勒索软件手册执行 — IR-2024-0500
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
阶段 1 - 检测:
  告警:      FILESERVER-03 检测到批量文件加密
  变体:      LockBit 3.0(通过 ID Ransomware 确认)
  MTTD:       从首次加密到 SOC 告警 12 分钟

阶段 2 - 遏制:
  [完成] FILESERVER-03 于 14:35 UTC 通过 CrowdStrike 完成隔离
  [完成] 通过防火墙紧急规则全企业封锁 SMB
  [完成] 被攻陷服务账号在 AD 中已禁用
  MTTC:       23 分钟

阶段 3 - 根除:
  [完成] 发现并隔离 3 台额外的 C2 信标主机
  [完成] Cobalt Strike C2 域名(c2[.]evil[.]com)已被沉洞处理
  [完成] 全企业 IOC 扫描完成——无其他感染

阶段 4 - 恢复:
  [完成] FILESERVER-03 从黄金镜像重建
  [完成] 从不可变 Veeam 备份恢复数据(RPO:4 小时)
  [完成] 系统监控 72 小时——无再次感染
  MTTR:       18 小时

受影响总数:1 台服务器,3 台工作站
数据丢失:  4 小时的文件修改(备份 RPO)
数据外泄:  未发现数据外泄证据
```

Related Skills

triaging-security-incident-with-ir-playbook

9
from killvxk/cybersecurity-skills-zh

使用结构化 IR Playbook 对安全事件进行分类和优先排序,确定严重性、分配响应团队并启动适当的响应程序。

reverse-engineering-ransomware-encryption-routine

9
from killvxk/cybersecurity-skills-zh

对勒索软件加密例程进行逆向工程,以识别密码学算法、密钥生成缺陷,以及通过静态和动态分析挖掘潜在的解密机会。

recovering-from-ransomware-attack

9
from killvxk/cybersecurity-skills-zh

按照 NIST 和 CISA 框架执行结构化勒索软件事件恢复,包括环境隔离、取证证据保全、 干净基础设施重建、从已验证备份优先还原系统、凭据重置,以及针对再感染的验证。 涵盖 Active Directory 恢复、数据库还原和按依赖顺序重建应用栈。

performing-ransomware-tabletop-exercise

9
from killvxk/cybersecurity-skills-zh

规划并主持模拟勒索软件(Ransomware)事件的桌面推演,以测试组织的应急准备、决策能力和通信流程。基于当前勒索软件威胁行为者(LockBit、ALPHV/BlackCat、Cl0p)设计真实场景,涵盖双重勒索(Double Extortion)、备份销毁和法规通知要求等注入内容。依据 NIST CSF 和 CISA 指南评估参与者响应。适用于勒索软件桌面推演、事件响应演练或勒索软件应急准备演习等请求。

performing-ransomware-response

9
from killvxk/cybersecurity-skills-zh

执行结构化的勒索软件事件响应,从初始检测到遏制、取证分析、解密评估、恢复和事后加固。 处理勒索谈判考量、备份完整性验证和法规通知要求。适用于勒索软件响应、 勒索软件恢复、加密勒索软件、数据加密攻击、赎金支付决策或勒索软件遏制等请求场景。

performing-ransomware-incident-response

9
from killvxk/cybersecurity-skills-zh

执行结构化的勒索软件事件响应,包括遏制、解密评估、从备份恢复以及根除勒索软件持久化机制。

investigating-ransomware-attack-artifacts

9
from killvxk/cybersecurity-skills-zh

识别、收集和分析勒索软件攻击制品,以确定变种、初始访问向量、加密范围和恢复选项。

implementing-soar-playbook-with-palo-alto-xsoar

9
from killvxk/cybersecurity-skills-zh

在 Cortex XSOAR 中实施自动化事件响应剧本,跨 SOC 工具编排安全工作流并缩短手动响应时间。

implementing-soar-playbook-for-phishing

9
from killvxk/cybersecurity-skills-zh

使用 Splunk SOAR REST API 自动化网络钓鱼事件响应,包括创建容器、添加制品并触发剧本

implementing-ot-incident-response-playbook

9
from killvxk/cybersecurity-skills-zh

按照SANS PICERL框架、IEC 62443和NIST SP 800-82,开发并实施OT专用事件响应剧本,解决包括安全关键系统、有限停机容忍度以及IT SOC、OT工程和工厂运营团队协调等ICS特有挑战。

implementing-honeypot-for-ransomware-detection

9
from killvxk/cybersecurity-skills-zh

部署诱饵文件、蜜罐共享和诱骗系统,在最早阶段检测勒索软件活动。配置嵌入 战略文件位置的金丝雀令牌,在勒索软件尝试加密时触发告警;使用模拟高价值 目标的蜜罐网络共享;部署 Thinkst Canary 设备进行全面的基于欺骗的检测。

detecting-ransomware-precursors-in-network

9
from killvxk/cybersecurity-skills-zh

在加密开始前检测网络流量中的勒索软件早期指标,包括初始访问经纪人(IAB)活动、 命令与控制(C2)信标、凭据收集、侦察扫描和暂存行为。使用网络检测工具(Zeek、Suricata、Arkime)、 SIEM 关联规则和威胁情报订阅,识别 Cobalt Strike 信标、Mimikatz 网络特征和 RDP 暴力破解等 勒索软件前驱模式。适合涉及勒索软件前驱检测、基于网络的勒索软件指标或早期预警监控的相关请求。