hunting-for-living-off-the-cloud-techniques

狩猎攻击者滥用合法云服务(Azure、AWS、GCP 和 SaaS 平台)进行 C2、数据暂存和数据外泄的行为。

9 stars

Best use case

hunting-for-living-off-the-cloud-techniques is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

狩猎攻击者滥用合法云服务(Azure、AWS、GCP 和 SaaS 平台)进行 C2、数据暂存和数据外泄的行为。

Teams using hunting-for-living-off-the-cloud-techniques should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/hunting-for-living-off-the-cloud-techniques/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/hunting-for-living-off-the-cloud-techniques/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/hunting-for-living-off-the-cloud-techniques/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How hunting-for-living-off-the-cloud-techniques Compares

Feature / Agenthunting-for-living-off-the-cloud-techniquesStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

狩猎攻击者滥用合法云服务(Azure、AWS、GCP 和 SaaS 平台)进行 C2、数据暂存和数据外泄的行为。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 狩猎云寄生(Living off the Cloud)技术

## 适用场景

- 主动狩猎环境中的云寄生技术指标时
- 威胁情报显示使用这些技术的活跃攻击活动后
- 事件响应期间确定与这些技术相关的失陷范围时
- EDR 或 SIEM 告警触发相关指标时
- 定期安全评估和紫队演练期间

## 前置条件

- 具备进程和网络遥测的 EDR 平台(CrowdStrike、MDE、SentinelOne)
- 已接入相关日志数据的 SIEM(Splunk、Elastic、Sentinel)
- 部署了 Sysmon 并进行全面配置
- 启用了 Windows 安全事件日志转发
- 用于 IOC 关联的威胁情报 feeds

## 工作流程

1. **建立假设**:基于威胁情报或 ATT&CK 差距分析,定义可验证的假设。
2. **识别数据源**:确定验证或反驳假设所需的日志和遥测数据。
3. **执行查询**:在 SIEM 和 EDR 平台上运行检测查询,收集相关事件。
4. **分析结果**:检查查询结果中的异常,并跨多数据源进行关联。
5. **验证发现**:通过上下文分析区分真阳性和假阳性。
6. **关联活动**:将发现与更广泛的攻击链和威胁行为者 TTP 进行关联。
7. **记录和报告**:记录发现、更新检测规则并提出响应措施建议。

## 核心概念

| 概念 | 描述 |
|------|------|
| T1102 | Web 服务 |
| T1567 | 通过 Web 服务外泄数据 |
| T1537 | 将数据转移至云账户 |

## 工具与系统

| 工具 | 用途 |
|------|------|
| CrowdStrike Falcon | EDR 遥测和威胁检测 |
| Microsoft Defender for Endpoint | 使用 KQL 进行高级威胁狩猎 |
| Splunk Enterprise | 使用 SPL 查询的 SIEM 日志分析 |
| Elastic Security | 检测规则和调查时间线 |
| Sysmon | 详细的 Windows 事件监控 |
| Velociraptor | 终端取证采集和狩猎 |
| Sigma Rules | 跨平台检测规则格式 |

## 常见场景

1. **场景 1**:通过 Discord Webhook 进行 C2 命令传递
2. **场景 2**:通过 Telegram Bot API 进行数据外泄
3. **场景 3**:恶意软件使用 Azure Functions 实现动态 C2
4. **场景 4**:在 Google Docs 或 Notion 页面暂存窃取的数据

## 输出格式

```
狩猎 ID:TH-HUNTIN-[日期]-[序号]
技术:T1102
主机:[主机名]
用户:[账户上下文]
证据:[日志条目、进程树、网络数据]
风险等级:[严重/高/中/低]
置信度:[高/中/低]
建议操作:[遏制、调查、监控]
```

Related Skills

securing-kubernetes-on-cloud

9
from killvxk/cybersecurity-skills-zh

本技能涵盖通过实施 Pod 安全标准(Pod Security Standards)、网络策略、工作负载身份、RBAC 权限控制、镜像准入控制和运行时安全监控,对 EKS、AKS 和 GKE 上的托管 Kubernetes 集群进行加固。涉及云平台特定安全功能,包括 EKS 的 IRSA、GKE 的工作负载身份(Workload Identity)以及 AKS 的托管身份(Managed Identity)。

performing-threat-hunting-with-yara-rules

9
from killvxk/cybersecurity-skills-zh

使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。

performing-threat-hunting-with-elastic-siem

9
from killvxk/cybersecurity-skills-zh

使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。

performing-cloud-storage-forensic-acquisition

9
from killvxk/cybersecurity-skills-zh

通过收集 API 远程数据和端点设备本地同步客户端制品,对 Google Drive、OneDrive、Dropbox 和 Box 等云存储服务执行取证获取和分析。

performing-cloud-penetration-testing

9
from killvxk/cybersecurity-skills-zh

对 AWS、Azure 和 GCP 云环境执行授权渗透测试,识别 IAM 错误配置、暴露的存储桶、过度宽松的安全组、 无服务器函数漏洞以及从初始访问到账户沦陷的云特定攻击路径。测试人员使用云原生工具及 Pacu、 ScoutSuite 等专用框架枚举并利用云基础设施。适用于云渗透测试、AWS 安全评估、Azure 渗透测试 或云基础设施安全测试等请求场景。

performing-cloud-penetration-testing-with-pacu

9
from killvxk/cybersecurity-skills-zh

使用开源 AWS 利用框架 Pacu 执行已授权的 AWS 渗透测试,枚举 IAM 配置、发现权限提升路径、测试凭据收集,并通过系统化的攻击模拟验证安全控制。

performing-cloud-native-forensics-with-falco

9
from killvxk/cybersecurity-skills-zh

使用 Falco YAML 规则在容器和 Kubernetes 中进行运行时威胁检测,监控系统调用以检测 shell 生成、文件篡改、网络异常和权限提升。通过 Falco gRPC API 管理 Falco 规则并解析 Falco 告警输出。适用于构建容器运行时安全或调查 k8s 集群入侵。

performing-cloud-incident-containment-procedures

9
from killvxk/cybersecurity-skills-zh

在 AWS、Azure 和 GCP 中执行云原生事件遏制,包括隔离受攻陷资源、撤销凭据、保全取证证据,以及应用安全组限制以防止横向移动。

performing-cloud-forensics-with-aws-cloudtrail

9
from killvxk/cybersecurity-skills-zh

使用 CloudTrail 日志对 AWS 环境执行取证调查,重建攻击者活动、识别受损凭据并分析 API 调用模式。

performing-cloud-forensics-investigation

9
from killvxk/cybersecurity-skills-zh

通过收集和分析来自 AWS、Azure 和 GCP 服务的日志、快照和元数据,在云环境中开展取证调查。

performing-cloud-asset-inventory-with-cartography

9
from killvxk/cybersecurity-skills-zh

使用 Cartography 执行全面的云资产清单和关系映射,在 AWS、GCP 和 Azure 中构建包含基础设施资产、IAM 权限和攻击路径的 Neo4j 安全图谱。

mapping-mitre-attack-techniques

9
from killvxk/cybersecurity-skills-zh

将观察到的对手行为、安全告警和检测规则映射到 MITRE ATT&CK 技术和子技术,以量化检测覆盖率并指导控制优先级。当构建基于 ATT&CK 的覆盖热图、为 SIEM 告警标记技术 ID、将安全控制与对手攻击手册对齐,或向高层报告威胁暴露时使用。适用于涉及 ATT&CK Navigator、Sigma 规则、MITRE D3FEND 或覆盖缺口分析的请求。