Best use case
hunting-for-supply-chain-compromise is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
狩猎供应链入侵指标,包括木马化软件更新、受损依赖项、未授权代码修改和被篡改的构建产物。
Teams using hunting-for-supply-chain-compromise should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/hunting-for-supply-chain-compromise/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How hunting-for-supply-chain-compromise Compares
| Feature / Agent | hunting-for-supply-chain-compromise | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
狩猎供应链入侵指标,包括木马化软件更新、受损依赖项、未授权代码修改和被篡改的构建产物。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 狩猎供应链入侵 ## 适用场景 - 主动狩猎环境中供应链入侵指标时 - 威胁情报显示存在使用这些技术的活跃活动时 - 事件响应期间,确定与这些技术相关的入侵范围时 - EDR 或 SIEM 告警在相关指标上触发时 - 定期安全评估和紫队演练期间 ## 前置条件 - 具备进程和网络遥测能力的 EDR 平台(CrowdStrike、MDE、SentinelOne) - 已导入相关日志数据的 SIEM(Splunk、Elastic、Sentinel) - 部署了综合配置的 Sysmon - 启用 Windows 安全事件日志转发 - 用于 IOC 关联的威胁情报源 ## 工作流程 1. **建立假设**:基于威胁情报或 ATT&CK 差距分析,定义可验证的假设。 2. **识别数据源**:确定需要哪些日志和遥测数据来验证或否定假设。 3. **执行查询**:在 SIEM 和 EDR 平台上运行检测查询,收集相关事件。 4. **分析结果**:检查查询结果中的异常,跨多个数据源进行关联。 5. **验证发现**:通过上下文分析区分真阳性与误报。 6. **关联活动**:将发现结果链接到更广泛的攻击链和威胁行为者 TTP。 7. **记录并报告**:记录发现结果,更新检测规则,并建议响应措施。 ## 核心概念 | 概念 | 描述 | |------|------| | T1195.001 | 入侵软件依赖项 | | T1195.002 | 入侵软件供应链 | | T1199 | 受信关系 | ## 工具与系统 | 工具 | 用途 | |------|------| | CrowdStrike Falcon | EDR 遥测和威胁检测 | | Microsoft Defender for Endpoint | 基于 KQL 的高级狩猎 | | Splunk Enterprise | 使用 SPL 查询的 SIEM 日志分析 | | Elastic Security | 检测规则和调查时间线 | | Sysmon | 详细的 Windows 事件监控 | | Velociraptor | 终端工件收集和狩猎 | | Sigma Rules | 跨平台检测规则格式 | ## 常见场景 1. **场景 1**:类似 SolarWinds 的更新机制入侵 2. **场景 2**:含有后门的受损 npm/PyPI 包 3. **场景 3**:被篡改的构建服务器部署恶意产物 4. **场景 4**:厂商 VPN 软件更新传递恶意软件 ## 输出格式 ``` 狩猎 ID:TH-HUNTIN-[日期]-[序号] 技术:T1195.001 主机:[主机名] 用户:[账户上下文] 证据:[日志条目、进程树、网络数据] 风险等级:[严重/高/中/低] 置信度:[高/中/低] 建议措施:[遏制、调查、监控] ```
Related Skills
performing-threat-hunting-with-yara-rules
使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。
performing-threat-hunting-with-elastic-siem
使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。
performing-supply-chain-attack-simulation
模拟和检测软件供应链攻击,包括通过 Levenshtein 距离检测域名抢注(Typosquatting)、针对私有注册表的依赖混淆(Dependency Confusion)测试、使用 pip 进行包哈希验证,以及使用 pip-audit 扫描已知漏洞。
performing-active-directory-compromise-investigation
通过分析认证日志、复制元数据、组策略变更和 Kerberos 票据异常,调查 Active Directory 攻陷事件,识别攻击者持久化机制和横向移动路径。
implementing-supply-chain-security-with-in-toto
使用 in-toto 框架为容器构建流程实施软件供应链(Supply Chain)完整性验证,在 CI/CD 流水线各步骤创建经过密码学签名的证明(Attestation)。
implementing-log-integrity-with-blockchain
使用 SHA-256 哈希链构建仅追加式日志完整性链以实现篡改检测。每条日志条目与前一条条目的哈希值 一起进行哈希运算,形成类似区块链的结构,修改任一条目将使后续所有哈希值失效。 实现日志摄取、链完整性验证、精确定位的篡改检测,以及定期向外部时间戳服务锚定检查点。
hunting-living-off-the-land-binaries
检测 Windows 事件日志和 Sysmon 遥测数据中对离地攻击(Living Off The Land Binaries,LOLBAS)的滥用, 包括 certutil、wmic、mshta、regsvr32 和 rundll32 等工具。 通过将进程创建事件与 LOLBAS 项目数据库交叉比对来构建检测规则。 适用于针对无文件攻击技术的威胁狩猎或构建 SIEM 检测规则的场景。
hunting-for-webshells-in-web-servers
通过扫描高熵值文件、可疑的 PHP/JSP/ASP 模式(eval、base64_decode、system、passthru)、 Web 根目录中近期修改的文件以及异常文件大小,检测植入 Web 服务器的 Webshell(网页后门)。 使用香农熵(Shannon entropy)计算标记混淆载荷,并通过正则表达式模式匹配已知 Webshell 特征。
hunting-for-webshell-activity
通过分析 Web 目录中的文件创建行为、Web 服务器异常进程派生以及异常 HTTP 模式,狩猎面向互联网服务器上的 Webshell 部署。
hunting-for-unusual-service-installations
通过解析系统事件日志中的事件 ID 7045、分析服务二进制路径并识别持久化机制指标,检测可疑 Windows 服务安装(MITRE ATT&CK T1543.003)。
hunting-for-unusual-network-connections
通过分析出站流量模式、稀有目标地址、非标准端口和终端异常连接频率,狩猎异常网络连接。
hunting-for-startup-folder-persistence
通过监控 Windows 启动目录中的可疑文件创建、分析 autoruns 条目以及使用 Python watchdog 进行实时文件系统监控,检测 T1547.001 启动文件夹持久化。