executing-diamond-model-analysis

将入侵分析菱形模型应用于将对手活动结构化为四个核心顶点(对手、能力、基础设施、受害者),并识别它们之间的关系,以引导调查和归因活动。适用于分析已完成的入侵事件、将不同事件关联到共同威胁行为者,或构建用于威胁情报传播的结构化分析产品时。适用于涉及菱形模型、入侵分析、活动聚类或对手归因方法论的请求。

9 stars

Best use case

executing-diamond-model-analysis is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

将入侵分析菱形模型应用于将对手活动结构化为四个核心顶点(对手、能力、基础设施、受害者),并识别它们之间的关系,以引导调查和归因活动。适用于分析已完成的入侵事件、将不同事件关联到共同威胁行为者,或构建用于威胁情报传播的结构化分析产品时。适用于涉及菱形模型、入侵分析、活动聚类或对手归因方法论的请求。

Teams using executing-diamond-model-analysis should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/executing-diamond-model-analysis/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/executing-diamond-model-analysis/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/executing-diamond-model-analysis/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How executing-diamond-model-analysis Compares

Feature / Agentexecuting-diamond-model-analysisStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

将入侵分析菱形模型应用于将对手活动结构化为四个核心顶点(对手、能力、基础设施、受害者),并识别它们之间的关系,以引导调查和归因活动。适用于分析已完成的入侵事件、将不同事件关联到共同威胁行为者,或构建用于威胁情报传播的结构化分析产品时。适用于涉及菱形模型、入侵分析、活动聚类或对手归因方法论的请求。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 执行菱形模型分析

## 适用场景

在以下情况下使用本技能:
- 分析已确认的入侵事件,了解完整的对手-能力-基础设施-受害者关系
- 尝试使用共享基础设施或能力指标,将两起或多起事件关联到共同的威胁行为者
- 构建在正式分析框架中解释对手行为的完成情报产品

**请勿使用**本技能进行主动事件遏制——菱形模型分析是事后或同步进行的情报活动,而非响应程序。

## 前置条件

- 已完成的事件调查数据:日志、取证产物、恶意软件样本、网络捕获
- 可访问 MITRE ATT&CK、VirusTotal、Shodan 和被动 DNS 数据库,用于顶点富化
- 链接分析平台(Maltego、Analyst's Notebook 或 Neo4j 等图数据库),用于多事件关联
- 熟悉菱形模型原始论文:Caltagirone、Pendergast、Betz(2013)

## 工作流程

### 步骤 1:填充四个核心顶点

**对手顶点**:谁实施了活动?
- 操作者(直接键盘访问)与客户(委托攻击的人)的区别
- 归因置信度(低/中/高),附支持证据
- 已知别名、ATT&CK 组织 ID、行业目标历史

**能力顶点**:使用了哪些工具和技术?
- 恶意软件家族:名称、YARA 签名、行为特征
- 漏洞利用:利用的 CVE、利用工具包标识符
- 使用的 ATT&CK 技术(T 编号)
- 能力复杂程度:商业(现货)vs. 定制开发

**基础设施顶点**:使用了哪些系统实施攻击?
- C2 服务器:IP、域名、托管提供商、证书指纹
- 投递基础设施:网络钓鱼域名、水坑攻击、受攻击服务器
- 操作中继节点(ORB):隐藏真实来源的中间代理

**受害者顶点**:针对谁/什么?
- 组织画像:行业、规模、地区、技术栈
- 角色:被针对的特定个人(CISO、财务团队、高管)
- 目标资产:知识产权、金融系统、OT/ICS

### 步骤 2:识别顶点关系(边)

记录顶点间的关系:
- 对手 → 使用 → 能力(恶意软件开发/部署关系)
- 对手 → 使用 → 基础设施(操作关系)
- 基础设施 → 投递 → 能力(技术投递机制)
- 能力 → 针对 → 受害者(攻击面关系)
- 基础设施 → 攻击 → 受害者(直接连接)

每条边至少应有两个独立数据点支撑(基于证据,而非推断)。

### 步骤 3:应用元特征进行富化

元特征提供超出四顶点的额外上下文:

**时间戳**:入侵每个阶段何时发生?映射到网络杀伤链阶段。

**阶段**:此活动代表哪个杀伤链阶段?
- 侦察 → 武器化 → 投递 → 利用 → 安装 → C2 → 目标行动

**方向**:攻击方向(外部到内部、内部到外部用于数据渗出)

**结果**:每个对手行动的结果(成功/失败/部分)

**资源**:对手投入的资源(时间、金钱、基础设施成本、零日使用)

### 步骤 4:使用顶点枢纽聚类事件

应用菱形模型枢纽逻辑聚类相关事件:
- **基础设施枢纽**:多起事件使用相同的 C2 IP → 相同或相关的对手
- **能力枢纽**:相同的恶意软件哈希或 YARA 签名 → 相同的工具开发者
- **对手枢纽**:相同的受害者学模式(行业+地区+资产类型)→ 相同的目标标准
- **受害者枢纽**:同一受害者出现在多起事件中 → 针对该组织的持续性活动

```
事件 A:IP 185.220.101.x,域名 evil-redir[.]com,SUNBURST 恶意软件变种
事件 B:IP 185.220.101.y(同一 /24),域名 redir-evil[.]com,修改版 SUNBURST
→ 基础设施聚类(同一 /24 块)+ 能力聚类(同一恶意软件家族)= 高置信度同一行为者
```

### 步骤 5:生成结构化分析输出

以结构化格式记录分析:
- 每个独立入侵事件的菱形事件图
- 跨时间连接多个事件的活动线索
- 带有置信度评估的活动组(聚类)
- 竞争假说分析:带有证据加权的替代归因解释(ACH 方法论)

## 核心概念

| 术语 | 定义 |
|------|------|
| **菱形模型** | 入侵分析框架,包含四个顶点(对手、能力、基础设施、受害者),通过代表关系的边相连 |
| **活动线索** | 代表单一对手行动的按时间排列的菱形事件序列 |
| **活动组** | 通过共享顶点属性关联的菱形事件集群,表明存在共同对手 |
| **操作者 vs. 客户** | 菱形模型区分:操作者拥有键盘访问权限;客户指挥/资助行动 |
| **枢纽** | 使用已知顶点值发现其他相关事件或基础设施(例如一个 IP 揭示 20 多个 C2 域名) |
| **ACH** | 竞争假说分析——用于评估多个归因假说证据的结构化分析技术 |

## 工具与系统

- **Maltego**:基于图谱的链接分析,非常适合可视化菱形顶点关系和基础设施枢纽
- **Neo4j**:用于大规模存储和查询复杂菱形事件集群的图数据库;支持 Cypher 查询语言
- **MISP**:通过 MISP Galaxy 和关联引擎支持菱形模型元特征标记
- **Analyst's Notebook(IBM i2)**:执法/情报级别的链接分析,用于对手关系映射

## 常见陷阱

- **混淆操作者和客户**:不区分实施攻击者和指挥攻击者会导致错误的归因目标。
- **基础设施重用假设**:防弹托管提供商向多个犯罪组织出售相同的 IP 块。没有额外佐证时,共享 IP ≠ 相同行为者。
- **无置信度级别的分析**:没有置信度限定词呈现的菱形模型结论,显得比证据所支持的更确定。
- **忽视受害者顶点**:分析通常过度关注对手/能力,忽视受害者表征,而受害者表征对预测未来目标至关重要。
- **静态图表**:菱形事件应有时间戳,并随新证据出现而更新。没有版本历史的静态图表会掩盖分析演变。

Related Skills

performing-windows-artifact-analysis-with-eric-zimmerman-tools

9
from killvxk/cybersecurity-skills-zh

使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。

performing-threat-modeling-with-owasp-threat-dragon

9
from killvxk/cybersecurity-skills-zh

使用 OWASP Threat Dragon 创建数据流图,运用 STRIDE 和 LINDDUN 方法论识别威胁,并生成威胁模型报告用于安全设计审查。

performing-static-malware-analysis-with-pe-studio

9
from killvxk/cybersecurity-skills-zh

使用 PEStudio 对 Windows PE(可移植可执行文件)恶意软件样本进行静态分析, 检查文件头、导入表、字符串、资源和指标,无需执行二进制文件。 识别可疑特征,包括加壳、反分析技术和恶意导入。适用于静态恶意软件分析、 PE 文件检查、Windows 可执行文件分析或执行前恶意软件分级等请求场景。

performing-s7comm-protocol-security-analysis

9
from killvxk/cybersecurity-skills-zh

对西门子SIMATIC S7 PLC使用的S7comm和S7CommPlus协议进行安全分析,识别漏洞,包括重放攻击、完整性绕过、未授权的CPU停止命令以及针对S7-300、S7-400、S7-1200和S7-1500控制器弱点的程序下载操控。

performing-plc-firmware-security-analysis

9
from killvxk/cybersecurity-skills-zh

本技能涵盖分析可编程逻辑控制器(PLC)固件的安全漏洞,包括硬编码凭据、不安全的更新机制、后门功能、内存损坏缺陷和未记录的调试接口。涉及从常见PLC平台(西门子S7、Allen-Bradley、施耐德Modicon)提取固件、固件镜像静态分析、仿真环境中的动态分析,以及与已知良好基线的对比以检测篡改。

performing-network-traffic-analysis-with-zeek

9
from killvxk/cybersecurity-skills-zh

部署 Zeek 网络安全监控器,捕获、解析和分析网络流量元数据,用于威胁检测、异常识别和取证调查。

performing-network-traffic-analysis-with-tshark

9
from killvxk/cybersecurity-skills-zh

使用 tshark 和 pyshark 自动化网络流量分析,进行协议统计、可疑流量检测、DNS 异常识别以及从 PCAP 文件中提取威胁指标(IOC)

performing-network-packet-capture-analysis

9
from killvxk/cybersecurity-skills-zh

使用 Wireshark、tshark 和 tcpdump 对网络数据包捕获(PCAP/PCAPNG)进行取证分析,重建网络通信、提取传输文件、识别恶意流量,并建立数据渗出或命令与控制活动的证据。

performing-log-analysis-for-forensic-investigation

9
from killvxk/cybersecurity-skills-zh

收集、解析和关联系统、应用程序及安全日志,以在取证调查期间重建事件并建立时间线。

performing-ip-reputation-analysis-with-shodan

9
from killvxk/cybersecurity-skills-zh

使用 Shodan API 分析 IP 地址声誉,识别开放端口、运行服务、已知漏洞和托管上下文,用于威胁情报富化和事件分类。

performing-firmware-malware-analysis

9
from killvxk/cybersecurity-skills-zh

分析固件镜像中嵌入的恶意软件、后门和未授权修改,目标包括路由器、IoT 设备、UEFI/BIOS 和嵌入式系统。涵盖固件提取、文件系统分析、二进制逆向工程和 Bootkit 检测。适用于固件安全 分析、IoT 恶意软件调查、UEFI Rootkit 检测或嵌入式设备入侵评估等请求场景。

performing-dynamic-analysis-with-any-run

9
from killvxk/cybersecurity-skills-zh

使用 ANY.RUN 云沙箱进行交互式动态恶意软件分析,实时观察执行行为、与恶意软件提示进行交互, 并捕获进程树、网络流量和系统变化。适用于交互式沙箱分析、基于云的恶意软件引爆、 实时行为观察或 ANY.RUN 使用等请求场景。