hunting-for-data-exfiltration-indicators

通过网络流量分析狩猎数据外泄行为,检测异常数据流、DNS 隧道、云存储上传以及加密通道滥用。

9 stars

Best use case

hunting-for-data-exfiltration-indicators is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

通过网络流量分析狩猎数据外泄行为,检测异常数据流、DNS 隧道、云存储上传以及加密通道滥用。

Teams using hunting-for-data-exfiltration-indicators should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/hunting-for-data-exfiltration-indicators/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/hunting-for-data-exfiltration-indicators/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/hunting-for-data-exfiltration-indicators/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How hunting-for-data-exfiltration-indicators Compares

Feature / Agenthunting-for-data-exfiltration-indicatorsStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

通过网络流量分析狩猎数据外泄行为,检测异常数据流、DNS 隧道、云存储上传以及加密通道滥用。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 狩猎数据外泄指标

## 适用场景

- 在失陷环境中主动狩猎数据窃取行为时
- 检测到异常出站数据量或异常模式后
- 调查潜在的内部威胁数据窃取事件时
- 事件响应期间确认哪些数据遭到窃取时
- 威胁情报显示针对所在行业的数据外泄活动时

## 前置条件

- 包含字节级数据传输指标的网络代理/防火墙日志
- 具备云上传可见性的 DLP 解决方案或 CASB
- 用于检测 DNS 外泄的 DNS 查询日志
- 用于附件监控的邮件网关日志
- 具备数据量异常检测能力的 SIEM

## 工作流程

1. **定义外泄通道**:识别潜在通道(HTTP/S 上传、DNS 隧道、邮件附件、云存储、可移动介质、加密协议)。
2. **建立正常数据流基线**:在 30 天窗口内,按用户、主机和目标地址建立出站数据传输量基线。
3. **检测流量异常**:识别向外部目标传输数据量显著超出基线的主机或用户。
4. **分析传输目标**:针对威胁情报核查目标域名/IP,识别新注册域名、个人云存储及境外基础设施。
5. **检测协议滥用**:寻找 DNS 隧道(大量/高频 TXT 查询)、ICMP 隧道或隐藏在允许协议中的数据。
6. **关联文件访问事件**:将外泄指标与敏感文件共享、数据库或代码仓库上的文件访问事件进行关联。
7. **报告与遏制**:记录含证据的调查结果、估算数据暴露范围,并提出遏制措施建议。

## 核心概念

| 概念 | 描述 |
|------|------|
| T1041 | 通过 C2 通道外泄数据 |
| T1048 | 通过替代协议外泄数据 |
| T1048.001 | 通过对称加密非 C2 通道外泄 |
| T1048.002 | 通过非对称加密非 C2 通道外泄 |
| T1048.003 | 通过未加密/混淆非 C2 通道外泄 |
| T1567 | 通过 Web 服务外泄数据 |
| T1567.002 | 外泄至云存储 |
| T1052 | 通过物理介质外泄 |
| T1029 | 定时传输 |
| T1030 | 数据传输大小限制(暂存) |
| T1537 | 转移数据至云账户 |
| T1020 | 自动化外泄 |

## 工具与系统

| 工具 | 用途 |
|------|------|
| Splunk | 数据量分析与 SPL 查询的 SIEM |
| Zeek | 用于数据流分析的网络元数据 |
| Microsoft Defender for Cloud Apps | 云外泄检测的 CASB |
| Netskope | 云 DLP 与外泄检测 |
| Suricata | 协议异常检测的网络 IDS |
| RITA | DNS 外泄与信标检测 |
| ExtraHop | 数据流分析的网络流量分析 |

## 常见场景

1. **云存储外泄**:用户通过浏览器将敏感文档上传至个人 Google Drive 或 Dropbox。
2. **DNS 隧道**:恶意软件将数据编码至 DNS 子域名查询,发送至攻击者控制的名称服务器。
3. **HTTPS 上传**:失陷系统通过加密 HTTPS 将大量数据 POST 至 C2 服务器。
4. **邮件附件外泄**:内部人员将敏感文档转发至个人邮箱账户。
5. **暂存与压缩**:攻击者将数据打包为压缩文件后缓慢外泄,以规避检测。

## 输出格式

```
狩猎 ID:TH-EXFIL-[日期]-[序号]
外泄通道:[HTTP/DNS/邮件/云/USB]
来源:[主机/用户]
目标:[域名/IP/服务]
数据量:[字节/MB/GB]
时间段:[开始 - 结束]
协议:[HTTPS/DNS/SMTP/SMB]
涉及文件:[数量/类型]
风险等级:[严重/高/中/低]
置信度:[高/中/低]
```

Related Skills

testing-for-sensitive-data-exposure

9
from killvxk/cybersecurity-skills-zh

在安全评估中识别敏感数据暴露漏洞,包括 API 密钥泄露、响应中的 PII、不安全存储以及未受保护的数据传输。

performing-threat-hunting-with-yara-rules

9
from killvxk/cybersecurity-skills-zh

使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。

performing-threat-hunting-with-elastic-siem

9
from killvxk/cybersecurity-skills-zh

使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。

performing-sqlite-database-forensics

9
from killvxk/cybersecurity-skills-zh

对 SQLite 数据库执行取证分析,从空闲列表(Freelist)和 WAL 文件中恢复已删除记录,解码编码时间戳,并从浏览器历史、即时通讯应用和移动设备数据库中提取证据。

investigating-insider-threat-indicators

9
from killvxk/cybersecurity-skills-zh

调查内部威胁(Insider Threat)指标,包括数据渗漏(Data Exfiltration)尝试、未授权访问模式、 策略违规和离职前行为,结合 SIEM 分析、DLP 告警和 HR 数据关联进行调查。 适用于 SOC 团队收到 HR 内部威胁转介、检测到员工异常数据移动, 或需要为潜在内部威胁建立调查时间线时。

implementing-security-monitoring-with-datadog

9
from killvxk/cybersecurity-skills-zh

使用 Datadog 的云安全信息和事件管理(Cloud SIEM)、日志分析和威胁检测能力实施安全监控,识别并响应整个云基础设施中的安全事件。

implementing-pam-for-database-access

9
from killvxk/cybersecurity-skills-zh

为数据库系统(包括 Oracle、SQL Server、PostgreSQL 和 MySQL)部署特权访问管理。涵盖会话代理配置、凭据保管、查询审计、动态凭据生成和最小权限数据库角色。

implementing-gdpr-data-protection-controls

9
from killvxk/cybersecurity-skills-zh

《通用数据保护条例》(EU)2016/679(GDPR)是欧盟关于个人数据收集、处理、存储和传输的综合数据保护法律。本技能涵盖实施 GDPR 要求的技术和组织措施。

implementing-cloud-dlp-for-data-protection

9
from killvxk/cybersecurity-skills-zh

使用 Amazon Macie、Azure Information Protection 和 Google Cloud DLP API 实施云数据丢失预防(DLP),对云存储、数据库和数据管道中的敏感数据进行发现、分类和保护。

implementing-aws-macie-for-data-classification

9
from killvxk/cybersecurity-skills-zh

实施 Amazon Macie,利用机器学习和模式匹配自动发现、分类并保护 S3 存储桶中的敏感数据,包括 PII、金融数据和凭据检测。

implementing-aes-encryption-for-data-at-rest

9
from killvxk/cybersecurity-skills-zh

AES(高级加密标准)是由 NIST(FIPS 197)标准化的对称分组密码,用于保护机密和敏感数据。本技能涵盖在 GCM 模式下实现 AES-256 加密,用于加密静态文件和数据存储,包括正确的密钥派生、IV/nonce 管理和认证加密。

hunting-living-off-the-land-binaries

9
from killvxk/cybersecurity-skills-zh

检测 Windows 事件日志和 Sysmon 遥测数据中对离地攻击(Living Off The Land Binaries,LOLBAS)的滥用, 包括 certutil、wmic、mshta、regsvr32 和 rundll32 等工具。 通过将进程创建事件与 LOLBAS 项目数据库交叉比对来构建检测规则。 适用于针对无文件攻击技术的威胁狩猎或构建 SIEM 检测规则的场景。