hunting-for-command-and-control-beaconing

通过频率分析、抖动检测和域名信誉评估,检测网络流量中的 C2 信标(Beaconing)模式,识别与攻击者基础设施通信的失陷终端。

9 stars

Best use case

hunting-for-command-and-control-beaconing is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

通过频率分析、抖动检测和域名信誉评估,检测网络流量中的 C2 信标(Beaconing)模式,识别与攻击者基础设施通信的失陷终端。

Teams using hunting-for-command-and-control-beaconing should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/hunting-for-command-and-control-beaconing/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/hunting-for-command-and-control-beaconing/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/hunting-for-command-and-control-beaconing/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How hunting-for-command-and-control-beaconing Compares

Feature / Agenthunting-for-command-and-control-beaconingStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

通过频率分析、抖动检测和域名信誉评估,检测网络流量中的 C2 信标(Beaconing)模式,识别与攻击者基础设施通信的失陷终端。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 狩猎命令与控制信标

## 适用场景

- 主动狩猎网络中的失陷系统时
- 威胁情报显示针对所在行业的 C2 框架活动时
- 调查向可疑域名发出的周期性出站连接时
- 事件响应期间识别活跃 C2 通道时
- DNS 查询日志显示特定域名的异常访问模式时

## 前置条件

- 包含完整 URL 和时序数据的网络代理/防火墙日志
- DNS 查询日志(被动 DNS、DNS 服务器日志或 Sysmon 事件 ID 22)
- Zeek/Bro 网络连接日志或 NetFlow 数据
- 具备统计分析能力的 SIEM(Splunk、Elastic)
- 用于域名/IP 信誉查询的威胁情报 feeds

## 工作流程

1. **识别信标特征**:定义信标的判断标准(规律的间隔、小型负载、一致的目标地址、抖动模式)。
2. **收集网络遥测数据**:汇聚代理日志、DNS 查询和连接元数据进行分析。
3. **应用频率分析**:使用统计方法(标准差、变异系数)识别具有规律间隔的连接。
4. **过滤已知正常流量**:排除合法的周期性流量(Windows Update、杀毒软件更新、心跳服务、NTP)。
5. **分析域名/IP 信誉**:针对威胁情报、WHOIS 数据和证书透明度日志核查已识别的信标目标。
6. **调查终端上下文**:将信标活动与源终端上的进程创建、用户上下文及文件系统变更进行关联。
7. **确认并响应**:验证 C2 活动、阻断通信并启动事件响应。

## 核心概念

| 概念 | 描述 |
|------|------|
| T1071 | 应用层协议(HTTP/HTTPS/DNS C2) |
| T1071.001 | Web 协议(HTTP/S 信标) |
| T1071.004 | DNS(DNS 隧道 C2) |
| T1573 | 加密通道 |
| T1572 | 协议隧道 |
| T1568 | 动态解析(DGA、fast-flux) |
| T1132 | C2 数据编码 |
| T1095 | 非应用层协议 |
| 信标间隔 | C2 回连之间的时间间隔 |
| 抖动 | 信标间隔中的随机变化量 |
| DGA | 域名生成算法(Domain Generation Algorithm) |
| Fast-Flux | 快速变化的 DNS 解析记录 |

## 工具与系统

| 工具 | 用途 |
|------|------|
| RITA(Real Intelligence Threat Analytics) | 自动检测 Zeek 日志中的信标 |
| Splunk | 使用 SPL 进行统计信标分析 |
| Elastic Security | 基于机器学习的信标异常检测 |
| Zeek/Bro | 网络连接元数据采集 |
| Suricata | 支持 JA3/JA4 指纹的网络 IDS |
| VirusTotal | 域名和 IP 信誉查询 |
| PassiveDNS | 历史 DNS 解析数据 |
| Flare | C2 配置文件检测 |

## 常见场景

1. **Cobalt Strike 信标**:通过可延展 C2 配置文件实现 HTTP/HTTPS 信标,支持可配置的休眠时间和抖动。
2. **DNS 隧道 C2**:通过向攻击者控制域名发送编码的 DNS TXT/CNAME 查询实现数据外泄和命令接收。
3. **HTTPS 上的 Sliver C2**:使用 HTTPS 的现代 C2 框架,支持可配置的信标间隔和域前置(domain fronting)。
4. **基于 DGA 的 C2**:恶意软件每日生成随机域名,攻击者预先注册即将使用的域名用于 C2。
5. **滥用合法服务**:通过合法云服务(Azure、AWS、Slack、Discord、Telegram)进行 C2 通信。

## 输出格式

```
狩猎 ID:TH-C2-[日期]-[序号]
源 IP:[内网 IP]
源主机:[主机名]
目标:[域名/IP]
协议:[HTTP/HTTPS/DNS/自定义]
信标间隔:[平均秒数]
抖动:[百分比]
连接次数:[总连接数]
数据量:[发送/接收字节数]
首次发现:[时间戳]
最后发现:[时间戳]
域名存在时间:[天数]
威胁情报匹配:[是/否 - 来源]
风险等级:[严重/高/中/低]
```

Related Skills

testing-for-broken-access-control

9
from killvxk/cybersecurity-skills-zh

系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。

performing-threat-hunting-with-yara-rules

9
from killvxk/cybersecurity-skills-zh

使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。

performing-threat-hunting-with-elastic-siem

9
from killvxk/cybersecurity-skills-zh

使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。

implementing-usb-device-control-policy

9
from killvxk/cybersecurity-skills-zh

实施 USB 设备控制策略,限制端点上未授权的可移动媒体访问,防止通过 USB 设备 进行数据泄露和引入恶意软件。适用于通过组策略、Intune 或 EDR 平台部署设备控制 以执行 USB 限制的场景。适用于涉及 USB 控制、可移动媒体策略、设备控制或 通过 USB 进行数据丢失防护的请求。

implementing-pod-security-admission-controller

9
from killvxk/cybersecurity-skills-zh

使用内置准入控制器在命名空间级别实施 Kubernetes Pod Security Admission(Pod 安全准入),强制执行基线和受限安全配置文件。

implementing-pci-dss-compliance-controls

9
from killvxk/cybersecurity-skills-zh

PCI DSS 4.0.1 为存储、处理或传输持卡人数据的组织建立了跨 6 个控制目标的 12 项要求。随着 PCI DSS 3.2.1 于 2024 年 4 月退休,51 项新要求将于 2025 年 3 月 31 日强制生效,本技能涵盖所有要求的实施,包括新的定制化验证方法、增强身份认证和持续监控控制。

implementing-network-access-control

9
from killvxk/cybersecurity-skills-zh

使用 RADIUS 认证、PacketFence NAC 和交换机配置实施 802.1X 基于端口的网络访问控制, 以强制执行基于身份的访问策略、态势评估和授权设备的自动 VLAN 分配。

implementing-network-access-control-with-cisco-ise

9
from killvxk/cybersecurity-skills-zh

部署 Cisco Identity Services Engine,实现 802.1X 有线和无线认证、MAC 认证旁路、态势评估和动态 VLAN 分配以进行网络访问控制。

implementing-nerc-cip-compliance-controls

9
from killvxk/cybersecurity-skills-zh

本技能涵盖为大型电力系统(BES)网络系统实施北美电力可靠性公司关键基础设施保护(NERC CIP)合规控制措施。内容包括资产分类(CIP-002)、电子安全边界(CIP-005)、系统安全管理(CIP-007)、配置管理(CIP-010)、供应链风险管理(CIP-013),以及2025年更新内容,包括远程访问强制MFA和扩展的低影响资产要求。

implementing-gdpr-data-protection-controls

9
from killvxk/cybersecurity-skills-zh

《通用数据保护条例》(EU)2016/679(GDPR)是欧盟关于个人数据收集、处理、存储和传输的综合数据保护法律。本技能涵盖实施 GDPR 要求的技术和组织措施。

implementing-endpoint-dlp-controls

9
from killvxk/cybersecurity-skills-zh

实施端点数据丢失防护(DLP)控制,检测并防止敏感数据通过电子邮件、USB、 云存储和打印进行泄露。适用于部署 DLP 代理、创建内容检查策略或防止 端点上未授权数据移动的场景。适用于涉及 DLP、数据泄露防护、内容检查 或端点敏感数据保护的请求。

implementing-api-key-security-controls

9
from killvxk/cybersecurity-skills-zh

实施安全的API密钥生成、存储、轮换和吊销控制,防止API认证凭据泄露、暴力破解和滥用。 设计具有足够熵的API密钥格式,实施安全哈希存储,执行按密钥范围限制和速率限制, 监控公共仓库中的密钥泄露,并构建密钥轮换工作流。