hunting-for-command-and-control-beaconing
通过频率分析、抖动检测和域名信誉评估,检测网络流量中的 C2 信标(Beaconing)模式,识别与攻击者基础设施通信的失陷终端。
Best use case
hunting-for-command-and-control-beaconing is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过频率分析、抖动检测和域名信誉评估,检测网络流量中的 C2 信标(Beaconing)模式,识别与攻击者基础设施通信的失陷终端。
Teams using hunting-for-command-and-control-beaconing should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/hunting-for-command-and-control-beaconing/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How hunting-for-command-and-control-beaconing Compares
| Feature / Agent | hunting-for-command-and-control-beaconing | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过频率分析、抖动检测和域名信誉评估,检测网络流量中的 C2 信标(Beaconing)模式,识别与攻击者基础设施通信的失陷终端。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 狩猎命令与控制信标 ## 适用场景 - 主动狩猎网络中的失陷系统时 - 威胁情报显示针对所在行业的 C2 框架活动时 - 调查向可疑域名发出的周期性出站连接时 - 事件响应期间识别活跃 C2 通道时 - DNS 查询日志显示特定域名的异常访问模式时 ## 前置条件 - 包含完整 URL 和时序数据的网络代理/防火墙日志 - DNS 查询日志(被动 DNS、DNS 服务器日志或 Sysmon 事件 ID 22) - Zeek/Bro 网络连接日志或 NetFlow 数据 - 具备统计分析能力的 SIEM(Splunk、Elastic) - 用于域名/IP 信誉查询的威胁情报 feeds ## 工作流程 1. **识别信标特征**:定义信标的判断标准(规律的间隔、小型负载、一致的目标地址、抖动模式)。 2. **收集网络遥测数据**:汇聚代理日志、DNS 查询和连接元数据进行分析。 3. **应用频率分析**:使用统计方法(标准差、变异系数)识别具有规律间隔的连接。 4. **过滤已知正常流量**:排除合法的周期性流量(Windows Update、杀毒软件更新、心跳服务、NTP)。 5. **分析域名/IP 信誉**:针对威胁情报、WHOIS 数据和证书透明度日志核查已识别的信标目标。 6. **调查终端上下文**:将信标活动与源终端上的进程创建、用户上下文及文件系统变更进行关联。 7. **确认并响应**:验证 C2 活动、阻断通信并启动事件响应。 ## 核心概念 | 概念 | 描述 | |------|------| | T1071 | 应用层协议(HTTP/HTTPS/DNS C2) | | T1071.001 | Web 协议(HTTP/S 信标) | | T1071.004 | DNS(DNS 隧道 C2) | | T1573 | 加密通道 | | T1572 | 协议隧道 | | T1568 | 动态解析(DGA、fast-flux) | | T1132 | C2 数据编码 | | T1095 | 非应用层协议 | | 信标间隔 | C2 回连之间的时间间隔 | | 抖动 | 信标间隔中的随机变化量 | | DGA | 域名生成算法(Domain Generation Algorithm) | | Fast-Flux | 快速变化的 DNS 解析记录 | ## 工具与系统 | 工具 | 用途 | |------|------| | RITA(Real Intelligence Threat Analytics) | 自动检测 Zeek 日志中的信标 | | Splunk | 使用 SPL 进行统计信标分析 | | Elastic Security | 基于机器学习的信标异常检测 | | Zeek/Bro | 网络连接元数据采集 | | Suricata | 支持 JA3/JA4 指纹的网络 IDS | | VirusTotal | 域名和 IP 信誉查询 | | PassiveDNS | 历史 DNS 解析数据 | | Flare | C2 配置文件检测 | ## 常见场景 1. **Cobalt Strike 信标**:通过可延展 C2 配置文件实现 HTTP/HTTPS 信标,支持可配置的休眠时间和抖动。 2. **DNS 隧道 C2**:通过向攻击者控制域名发送编码的 DNS TXT/CNAME 查询实现数据外泄和命令接收。 3. **HTTPS 上的 Sliver C2**:使用 HTTPS 的现代 C2 框架,支持可配置的信标间隔和域前置(domain fronting)。 4. **基于 DGA 的 C2**:恶意软件每日生成随机域名,攻击者预先注册即将使用的域名用于 C2。 5. **滥用合法服务**:通过合法云服务(Azure、AWS、Slack、Discord、Telegram)进行 C2 通信。 ## 输出格式 ``` 狩猎 ID:TH-C2-[日期]-[序号] 源 IP:[内网 IP] 源主机:[主机名] 目标:[域名/IP] 协议:[HTTP/HTTPS/DNS/自定义] 信标间隔:[平均秒数] 抖动:[百分比] 连接次数:[总连接数] 数据量:[发送/接收字节数] 首次发现:[时间戳] 最后发现:[时间戳] 域名存在时间:[天数] 威胁情报匹配:[是/否 - 来源] 风险等级:[严重/高/中/低] ```
Related Skills
testing-for-broken-access-control
系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。
performing-threat-hunting-with-yara-rules
使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。
performing-threat-hunting-with-elastic-siem
使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。
implementing-usb-device-control-policy
实施 USB 设备控制策略,限制端点上未授权的可移动媒体访问,防止通过 USB 设备 进行数据泄露和引入恶意软件。适用于通过组策略、Intune 或 EDR 平台部署设备控制 以执行 USB 限制的场景。适用于涉及 USB 控制、可移动媒体策略、设备控制或 通过 USB 进行数据丢失防护的请求。
implementing-pod-security-admission-controller
使用内置准入控制器在命名空间级别实施 Kubernetes Pod Security Admission(Pod 安全准入),强制执行基线和受限安全配置文件。
implementing-pci-dss-compliance-controls
PCI DSS 4.0.1 为存储、处理或传输持卡人数据的组织建立了跨 6 个控制目标的 12 项要求。随着 PCI DSS 3.2.1 于 2024 年 4 月退休,51 项新要求将于 2025 年 3 月 31 日强制生效,本技能涵盖所有要求的实施,包括新的定制化验证方法、增强身份认证和持续监控控制。
implementing-network-access-control
使用 RADIUS 认证、PacketFence NAC 和交换机配置实施 802.1X 基于端口的网络访问控制, 以强制执行基于身份的访问策略、态势评估和授权设备的自动 VLAN 分配。
implementing-network-access-control-with-cisco-ise
部署 Cisco Identity Services Engine,实现 802.1X 有线和无线认证、MAC 认证旁路、态势评估和动态 VLAN 分配以进行网络访问控制。
implementing-nerc-cip-compliance-controls
本技能涵盖为大型电力系统(BES)网络系统实施北美电力可靠性公司关键基础设施保护(NERC CIP)合规控制措施。内容包括资产分类(CIP-002)、电子安全边界(CIP-005)、系统安全管理(CIP-007)、配置管理(CIP-010)、供应链风险管理(CIP-013),以及2025年更新内容,包括远程访问强制MFA和扩展的低影响资产要求。
implementing-gdpr-data-protection-controls
《通用数据保护条例》(EU)2016/679(GDPR)是欧盟关于个人数据收集、处理、存储和传输的综合数据保护法律。本技能涵盖实施 GDPR 要求的技术和组织措施。
implementing-endpoint-dlp-controls
实施端点数据丢失防护(DLP)控制,检测并防止敏感数据通过电子邮件、USB、 云存储和打印进行泄露。适用于部署 DLP 代理、创建内容检查策略或防止 端点上未授权数据移动的场景。适用于涉及 DLP、数据泄露防护、内容检查 或端点敏感数据保护的请求。
implementing-api-key-security-controls
实施安全的API密钥生成、存储、轮换和吊销控制,防止API认证凭据泄露、暴力破解和滥用。 设计具有足够熵的API密钥格式,实施安全哈希存储,执行按密钥范围限制和速率限制, 监控公共仓库中的密钥泄露,并构建密钥轮换工作流。