executing-diamond-model-analysis
将入侵分析菱形模型应用于将对手活动结构化为四个核心顶点(对手、能力、基础设施、受害者),并识别它们之间的关系,以引导调查和归因活动。适用于分析已完成的入侵事件、将不同事件关联到共同威胁行为者,或构建用于威胁情报传播的结构化分析产品时。适用于涉及菱形模型、入侵分析、活动聚类或对手归因方法论的请求。
Best use case
executing-diamond-model-analysis is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
将入侵分析菱形模型应用于将对手活动结构化为四个核心顶点(对手、能力、基础设施、受害者),并识别它们之间的关系,以引导调查和归因活动。适用于分析已完成的入侵事件、将不同事件关联到共同威胁行为者,或构建用于威胁情报传播的结构化分析产品时。适用于涉及菱形模型、入侵分析、活动聚类或对手归因方法论的请求。
Teams using executing-diamond-model-analysis should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/executing-diamond-model-analysis/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How executing-diamond-model-analysis Compares
| Feature / Agent | executing-diamond-model-analysis | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
将入侵分析菱形模型应用于将对手活动结构化为四个核心顶点(对手、能力、基础设施、受害者),并识别它们之间的关系,以引导调查和归因活动。适用于分析已完成的入侵事件、将不同事件关联到共同威胁行为者,或构建用于威胁情报传播的结构化分析产品时。适用于涉及菱形模型、入侵分析、活动聚类或对手归因方法论的请求。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行菱形模型分析 ## 适用场景 在以下情况下使用本技能: - 分析已确认的入侵事件,了解完整的对手-能力-基础设施-受害者关系 - 尝试使用共享基础设施或能力指标,将两起或多起事件关联到共同的威胁行为者 - 构建在正式分析框架中解释对手行为的完成情报产品 **请勿使用**本技能进行主动事件遏制——菱形模型分析是事后或同步进行的情报活动,而非响应程序。 ## 前置条件 - 已完成的事件调查数据:日志、取证产物、恶意软件样本、网络捕获 - 可访问 MITRE ATT&CK、VirusTotal、Shodan 和被动 DNS 数据库,用于顶点富化 - 链接分析平台(Maltego、Analyst's Notebook 或 Neo4j 等图数据库),用于多事件关联 - 熟悉菱形模型原始论文:Caltagirone、Pendergast、Betz(2013) ## 工作流程 ### 步骤 1:填充四个核心顶点 **对手顶点**:谁实施了活动? - 操作者(直接键盘访问)与客户(委托攻击的人)的区别 - 归因置信度(低/中/高),附支持证据 - 已知别名、ATT&CK 组织 ID、行业目标历史 **能力顶点**:使用了哪些工具和技术? - 恶意软件家族:名称、YARA 签名、行为特征 - 漏洞利用:利用的 CVE、利用工具包标识符 - 使用的 ATT&CK 技术(T 编号) - 能力复杂程度:商业(现货)vs. 定制开发 **基础设施顶点**:使用了哪些系统实施攻击? - C2 服务器:IP、域名、托管提供商、证书指纹 - 投递基础设施:网络钓鱼域名、水坑攻击、受攻击服务器 - 操作中继节点(ORB):隐藏真实来源的中间代理 **受害者顶点**:针对谁/什么? - 组织画像:行业、规模、地区、技术栈 - 角色:被针对的特定个人(CISO、财务团队、高管) - 目标资产:知识产权、金融系统、OT/ICS ### 步骤 2:识别顶点关系(边) 记录顶点间的关系: - 对手 → 使用 → 能力(恶意软件开发/部署关系) - 对手 → 使用 → 基础设施(操作关系) - 基础设施 → 投递 → 能力(技术投递机制) - 能力 → 针对 → 受害者(攻击面关系) - 基础设施 → 攻击 → 受害者(直接连接) 每条边至少应有两个独立数据点支撑(基于证据,而非推断)。 ### 步骤 3:应用元特征进行富化 元特征提供超出四顶点的额外上下文: **时间戳**:入侵每个阶段何时发生?映射到网络杀伤链阶段。 **阶段**:此活动代表哪个杀伤链阶段? - 侦察 → 武器化 → 投递 → 利用 → 安装 → C2 → 目标行动 **方向**:攻击方向(外部到内部、内部到外部用于数据渗出) **结果**:每个对手行动的结果(成功/失败/部分) **资源**:对手投入的资源(时间、金钱、基础设施成本、零日使用) ### 步骤 4:使用顶点枢纽聚类事件 应用菱形模型枢纽逻辑聚类相关事件: - **基础设施枢纽**:多起事件使用相同的 C2 IP → 相同或相关的对手 - **能力枢纽**:相同的恶意软件哈希或 YARA 签名 → 相同的工具开发者 - **对手枢纽**:相同的受害者学模式(行业+地区+资产类型)→ 相同的目标标准 - **受害者枢纽**:同一受害者出现在多起事件中 → 针对该组织的持续性活动 ``` 事件 A:IP 185.220.101.x,域名 evil-redir[.]com,SUNBURST 恶意软件变种 事件 B:IP 185.220.101.y(同一 /24),域名 redir-evil[.]com,修改版 SUNBURST → 基础设施聚类(同一 /24 块)+ 能力聚类(同一恶意软件家族)= 高置信度同一行为者 ``` ### 步骤 5:生成结构化分析输出 以结构化格式记录分析: - 每个独立入侵事件的菱形事件图 - 跨时间连接多个事件的活动线索 - 带有置信度评估的活动组(聚类) - 竞争假说分析:带有证据加权的替代归因解释(ACH 方法论) ## 核心概念 | 术语 | 定义 | |------|------| | **菱形模型** | 入侵分析框架,包含四个顶点(对手、能力、基础设施、受害者),通过代表关系的边相连 | | **活动线索** | 代表单一对手行动的按时间排列的菱形事件序列 | | **活动组** | 通过共享顶点属性关联的菱形事件集群,表明存在共同对手 | | **操作者 vs. 客户** | 菱形模型区分:操作者拥有键盘访问权限;客户指挥/资助行动 | | **枢纽** | 使用已知顶点值发现其他相关事件或基础设施(例如一个 IP 揭示 20 多个 C2 域名) | | **ACH** | 竞争假说分析——用于评估多个归因假说证据的结构化分析技术 | ## 工具与系统 - **Maltego**:基于图谱的链接分析,非常适合可视化菱形顶点关系和基础设施枢纽 - **Neo4j**:用于大规模存储和查询复杂菱形事件集群的图数据库;支持 Cypher 查询语言 - **MISP**:通过 MISP Galaxy 和关联引擎支持菱形模型元特征标记 - **Analyst's Notebook(IBM i2)**:执法/情报级别的链接分析,用于对手关系映射 ## 常见陷阱 - **混淆操作者和客户**:不区分实施攻击者和指挥攻击者会导致错误的归因目标。 - **基础设施重用假设**:防弹托管提供商向多个犯罪组织出售相同的 IP 块。没有额外佐证时,共享 IP ≠ 相同行为者。 - **无置信度级别的分析**:没有置信度限定词呈现的菱形模型结论,显得比证据所支持的更确定。 - **忽视受害者顶点**:分析通常过度关注对手/能力,忽视受害者表征,而受害者表征对预测未来目标至关重要。 - **静态图表**:菱形事件应有时间戳,并随新证据出现而更新。没有版本历史的静态图表会掩盖分析演变。
Related Skills
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-threat-modeling-with-owasp-threat-dragon
使用 OWASP Threat Dragon 创建数据流图,运用 STRIDE 和 LINDDUN 方法论识别威胁,并生成威胁模型报告用于安全设计审查。
performing-static-malware-analysis-with-pe-studio
使用 PEStudio 对 Windows PE(可移植可执行文件)恶意软件样本进行静态分析, 检查文件头、导入表、字符串、资源和指标,无需执行二进制文件。 识别可疑特征,包括加壳、反分析技术和恶意导入。适用于静态恶意软件分析、 PE 文件检查、Windows 可执行文件分析或执行前恶意软件分级等请求场景。
performing-s7comm-protocol-security-analysis
对西门子SIMATIC S7 PLC使用的S7comm和S7CommPlus协议进行安全分析,识别漏洞,包括重放攻击、完整性绕过、未授权的CPU停止命令以及针对S7-300、S7-400、S7-1200和S7-1500控制器弱点的程序下载操控。
performing-plc-firmware-security-analysis
本技能涵盖分析可编程逻辑控制器(PLC)固件的安全漏洞,包括硬编码凭据、不安全的更新机制、后门功能、内存损坏缺陷和未记录的调试接口。涉及从常见PLC平台(西门子S7、Allen-Bradley、施耐德Modicon)提取固件、固件镜像静态分析、仿真环境中的动态分析,以及与已知良好基线的对比以检测篡改。
performing-network-traffic-analysis-with-zeek
部署 Zeek 网络安全监控器,捕获、解析和分析网络流量元数据,用于威胁检测、异常识别和取证调查。
performing-network-traffic-analysis-with-tshark
使用 tshark 和 pyshark 自动化网络流量分析,进行协议统计、可疑流量检测、DNS 异常识别以及从 PCAP 文件中提取威胁指标(IOC)
performing-network-packet-capture-analysis
使用 Wireshark、tshark 和 tcpdump 对网络数据包捕获(PCAP/PCAPNG)进行取证分析,重建网络通信、提取传输文件、识别恶意流量,并建立数据渗出或命令与控制活动的证据。
performing-log-analysis-for-forensic-investigation
收集、解析和关联系统、应用程序及安全日志,以在取证调查期间重建事件并建立时间线。
performing-ip-reputation-analysis-with-shodan
使用 Shodan API 分析 IP 地址声誉,识别开放端口、运行服务、已知漏洞和托管上下文,用于威胁情报富化和事件分类。
performing-firmware-malware-analysis
分析固件镜像中嵌入的恶意软件、后门和未授权修改,目标包括路由器、IoT 设备、UEFI/BIOS 和嵌入式系统。涵盖固件提取、文件系统分析、二进制逆向工程和 Bootkit 检测。适用于固件安全 分析、IoT 恶意软件调查、UEFI Rootkit 检测或嵌入式设备入侵评估等请求场景。
performing-dynamic-analysis-with-any-run
使用 ANY.RUN 云沙箱进行交互式动态恶意软件分析,实时观察执行行为、与恶意软件提示进行交互, 并捕获进程树、网络流量和系统变化。适用于交互式沙箱分析、基于云的恶意软件引爆、 实时行为观察或 ANY.RUN 使用等请求场景。