hunting-advanced-persistent-threats

在企业环境中使用基于假设的搜索,跨终端遥测、网络日志和内存产物,主动猎捕高级持续性威胁(APT)活动。适用于开展定期威胁猎捕周期、调查 UEBA 标记的异常行为,或验证已知 APT TTP 在环境中不存在时。适用于涉及 MITRE ATT&CK、Velociraptor、osquery、Zeek 或威胁猎捕剧本的请求。

9 stars

Best use case

hunting-advanced-persistent-threats is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

在企业环境中使用基于假设的搜索,跨终端遥测、网络日志和内存产物,主动猎捕高级持续性威胁(APT)活动。适用于开展定期威胁猎捕周期、调查 UEBA 标记的异常行为,或验证已知 APT TTP 在环境中不存在时。适用于涉及 MITRE ATT&CK、Velociraptor、osquery、Zeek 或威胁猎捕剧本的请求。

Teams using hunting-advanced-persistent-threats should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/hunting-advanced-persistent-threats/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/hunting-advanced-persistent-threats/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/hunting-advanced-persistent-threats/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How hunting-advanced-persistent-threats Compares

Feature / Agenthunting-advanced-persistent-threatsStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

在企业环境中使用基于假设的搜索,跨终端遥测、网络日志和内存产物,主动猎捕高级持续性威胁(APT)活动。适用于开展定期威胁猎捕周期、调查 UEBA 标记的异常行为,或验证已知 APT TTP 在环境中不存在时。适用于涉及 MITRE ATT&CK、Velociraptor、osquery、Zeek 或威胁猎捕剧本的请求。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 猎捕高级持续性威胁

## 适用场景

在以下情况下使用本技能:
- 基于新发布的 APT 情报开展主动威胁猎捕冲刺(通常为 2-4 周周期)
- UEBA 告警或异常检测系统标记需要深入调查的行为偏差
- 同行组织或 ISAC 共享合作伙伴报告活跃 APT 入侵,需要验证自身暴露情况

**请勿使用**本技能替代确认泄露正在进行时的事件响应——应上报至 IR 程序(NIST SP 800-61)。

## 前置条件

- 具有遥测数据保留的 EDR 平台(CrowdStrike Falcon、Microsoft Defender for Endpoint 或 SentinelOne),覆盖 30 天以上
- 可访问 MITRE ATT&CK Navigator 用于假设开发
- 在可查询 SIEM 中的网络流数据(NetFlow、Zeek 或 Suricata 日志)
- 威胁猎捕平台或查询界面(Velociraptor、osquery 集群或 Splunk ES)

## 工作流程

### 步骤 1:制定猎捕假设

使用 MITRE ATT&CK 组织(https://attack.mitre.org/groups/)选择与您所在行业相关的威胁行为者。查看该组织已知的 TTP 映射到 ATT&CK 技术。示例假设:"APT29(Cozy Bear)使用带 ISO 附件的鱼叉式网络钓鱼(T1566.001)和离地攻击二进制文件(T1218)——测试异常的 mshta.exe 和 rundll32.exe 父子关系。"

使用威胁猎捕循环框架记录假设:假设 → 数据收集 → 模式分析 → 响应。

### 步骤 2:识别所需数据源

使用 ATT&CK 数据源分类将每个 ATT&CK 技术映射到所需日志源:
- 进程创建(T1059):Windows 安全事件 4688 或 Sysmon 事件 ID 1
- 网络连接(T1071):Zeek conn.log、NetFlow、EDR 网络遥测
- 注册表修改(T1547):Sysmon 事件 ID 13、Windows 安全 4657
- 内存注入(T1055):EDR 内存扫描遥测、Volatility 输出

使用 ATT&CK 覆盖率计算器或自定义数据源矩阵验证日志覆盖情况。

### 步骤 3:使用 Velociraptor 或 osquery 执行猎捕

**Velociraptor VQL 猎捕**异常 PowerShell 执行:
```vql
SELECT Pid, Ppid, Name, CommandLine, CreateTime
FROM pslist()
WHERE Name =~ "powershell.exe"
AND CommandLine =~ "-enc|-nop|-w hidden"
```

**osquery** 检测通过计划任务实现的持久化:
```sql
SELECT name, action, enabled, path
FROM scheduled_tasks
WHERE action NOT LIKE '%System32%'
AND enabled = 1;
```

**Splunk SPL** 检测通过 PsExec 的横向移动:
```spl
index=windows EventCode=7045 ServiceFileName="*PSEXESVC*"
| stats count by ComputerName, ServiceName, ServiceFileName
```

### 步骤 4:分析结果并进行枢纽

对于识别出的每个异常,在多个维度进行枢纽:
- 时间:这是否发生在已知 IOC 时间戳之前或之后?
- 主机:有多少终端表现出此行为?
- 用户:关联账户是服务账户、特权用户还是普通用户?
- 网络:该主机是否与不在基线中的外部 IP 通信?

应用菱形模型(对手、能力、基础设施、受害者)构建调查发现。

### 步骤 5:记录并将发现运营化

如果猎捕发现确认的恶意活动,激活 IR 程序。如果猎捕发现缺口(猎捕未发现任何内容但数据覆盖不足),记录覆盖缺口并进行修复。

将成功的猎捕查询转换为 Sigma 格式的 SIEM 检测规则,以实现跨平台可移植性。

## 核心概念

| 术语 | 定义 |
|------|------|
| **TTP** | 战术、技术和过程——MITRE ATT&CK 中定义的对手行为模式 |
| **菱形模型** | 包含四个顶点(对手、能力、基础设施、受害者)的分析框架,用于构建入侵分析 |
| **离地攻击(LotL)** | 攻击者使用合法操作系统工具(PowerShell、WMI、certutil)规避检测的技术 |
| **UEBA** | 用户和实体行为分析——基于 ML 检测异常行为基线 |
| **Sigma** | 与 SIEM 无关的检测规则格式的开放标准,类似于网络/日志检测中的 YARA |
| **猎捕假设** | 基于威胁情报和环境知识,对对手存在的可测试预测 |

## 工具与系统

- **Velociraptor**:具有 VQL 查询语言的开源 DFIR 平台,可在数千个系统上进行可扩展的终端猎捕
- **osquery**:基于 SQL 的 OS 检测框架,用于实时终端遥测查询
- **MITRE ATT&CK Navigator**:基于 Web 的工具,用于可视化 ATT&CK 覆盖率和技术优先级
- **Zeek(前身为 Bro)**:生成结构化日志(conn、dns、http、ssl)的网络流量分析器,适合猎捕
- **Elastic Security**:EQL(事件查询语言)支持针对多阶段攻击模式的基于序列的猎捕
- **Sigma**:带有 Splunk、QRadar、Sentinel 和 Elastic 转换器的检测规则格式

## 常见陷阱

- **确认偏见**:开始猎捕时期望发现某些内容,并将良性数据解读为恶意。记录空结果——它们验证了控制措施。
- **日志保留不足**:许多 APT 技术需要 90 天以上的日志历史才能识别缓慢低调的模式。默认保留期通常太短。
- **无基线猎捕**:在不了解正常情况的前提下无法识别异常。在猎捕前花时间进行基线文档化。
- **查询性能影响**:在工作时间对生产 SIEM 执行大范围查询可能降低分析师工作流效率。在非高峰时段安排密集猎捕。
- **系统性忽视误报**:跟踪每个查询的误报率。误报率 >80% 的查询在运营化前应进行优化或淘汰。

Related Skills

scanning-network-with-nmap-advanced

9
from killvxk/cybersecurity-skills-zh

使用 Nmap 的脚本引擎、时序控制、规避技术和输出解析,对授权目标网络执行高级网络侦察, 发现主机、枚举服务、检测漏洞并识别操作系统。

performing-threat-hunting-with-yara-rules

9
from killvxk/cybersecurity-skills-zh

使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。

performing-threat-hunting-with-elastic-siem

9
from killvxk/cybersecurity-skills-zh

使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。

performing-dark-web-monitoring-for-threats

9
from killvxk/cybersecurity-skills-zh

暗网威胁监控涉及系统性扫描 Tor 隐藏服务、地下论坛、粘贴站点和暗网市场,以识别针对组织的威胁,包括泄露凭据、数据泄露、威胁行为者讨论、漏洞利用工具和预谋攻击。

implementing-github-advanced-security-for-code-scanning

9
from killvxk/cybersecurity-skills-zh

配置 GitHub Advanced Security 与 CodeQL,在企业级别对仓库执行自动化静态分析和漏洞检测。

hunting-living-off-the-land-binaries

9
from killvxk/cybersecurity-skills-zh

检测 Windows 事件日志和 Sysmon 遥测数据中对离地攻击(Living Off The Land Binaries,LOLBAS)的滥用, 包括 certutil、wmic、mshta、regsvr32 和 rundll32 等工具。 通过将进程创建事件与 LOLBAS 项目数据库交叉比对来构建检测规则。 适用于针对无文件攻击技术的威胁狩猎或构建 SIEM 检测规则的场景。

hunting-for-webshells-in-web-servers

9
from killvxk/cybersecurity-skills-zh

通过扫描高熵值文件、可疑的 PHP/JSP/ASP 模式(eval、base64_decode、system、passthru)、 Web 根目录中近期修改的文件以及异常文件大小,检测植入 Web 服务器的 Webshell(网页后门)。 使用香农熵(Shannon entropy)计算标记混淆载荷,并通过正则表达式模式匹配已知 Webshell 特征。

hunting-for-webshell-activity

9
from killvxk/cybersecurity-skills-zh

通过分析 Web 目录中的文件创建行为、Web 服务器异常进程派生以及异常 HTTP 模式,狩猎面向互联网服务器上的 Webshell 部署。

hunting-for-unusual-service-installations

9
from killvxk/cybersecurity-skills-zh

通过解析系统事件日志中的事件 ID 7045、分析服务二进制路径并识别持久化机制指标,检测可疑 Windows 服务安装(MITRE ATT&CK T1543.003)。

hunting-for-unusual-network-connections

9
from killvxk/cybersecurity-skills-zh

通过分析出站流量模式、稀有目标地址、非标准端口和终端异常连接频率,狩猎异常网络连接。

hunting-for-supply-chain-compromise

9
from killvxk/cybersecurity-skills-zh

狩猎供应链入侵指标,包括木马化软件更新、受损依赖项、未授权代码修改和被篡改的构建产物。

hunting-for-startup-folder-persistence

9
from killvxk/cybersecurity-skills-zh

通过监控 Windows 启动目录中的可疑文件创建、分析 autoruns 条目以及使用 Python watchdog 进行实时文件系统监控,检测 T1547.001 启动文件夹持久化。