Skill

building-soc-playbook-for-ransomware

Builds structured SOC playbook for ransomware incident response, including SIEM detection queries for Splunk/Elastic, EDR isolation via CrowdStrike/Defender, decision trees, and NIST/MITRE-compliant phases. For SOC teams standardizing processes.

Bash

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

以下情况使用本技能：

Supporting Assets

LICENSEreferences/api-reference.mdscripts/agent.py

SKILL.md

Similar Skills

building-soc-playbook-for-ransomware

5.9k

Builds structured SOC incident response playbook for ransomware covering detection with SIEM queries, containment, eradication, recovery phases aligned to NIST SP 800-61 and MITRE ATT&CK. For SOC teams standardizing procedures.

3 files

cybersecurity-skills

building-soc-playbook-for-ransomware

Builds SOC incident response playbook for ransomware covering detection with SIEM queries, containment, eradication, and recovery phases aligned to NIST SP 800-61 and MITRE ATT&CK. For standardizing SOC procedures.

asi

performing-ransomware-response

Guides structured ransomware incident response from detection and containment to forensics, decryption assessment, recovery, and hardening. Covers negotiations, backups, regulations. For ransomware attacks.

3 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

构建 SOC 勒索软件响应手册

适用场景

以下情况使用本技能：

SOC 团队需要为一至三级分析师制定标准化的勒索软件响应手册
组织缺乏文档化的勒索软件遏制和恢复流程
桌面推演（Tabletop Exercise）发现勒索软件响应协调中的差距
合规要求（NIST CSF、ISO 27001）强制要求文档化的事件响应手册

不适用于将本手册作为活跃勒索软件事件的唯一响应指南——在事件发生前必须提前测试和演练预构建的手册。

前置条件

具备端点和网络数据的 SIEM 平台（Splunk ES、Elastic Security 或 Sentinel）
具有网络隔离能力的 EDR 解决方案（CrowdStrike、SentinelOne 或 Microsoft Defender for Endpoint）
具有经过测试的恢复流程和离线/不可变备份的备份基础设施
与法务、高管领导层和外部 IR 顾问的通信计划及联系人
勒索软件技术链的 MITRE ATT&CK 知识

工作流程

步骤 1：定义检测触发条件

创建针对早期勒索软件指标的 SIEM 检测规则：

批量文件加密检测（Splunk）：

index=sysmon EventCode=11
| bin _time span=1m
| stats dc(TargetFilename) AS unique_files, values(TargetFilename) AS sample_files by Computer, Image, _time
| where unique_files > 100
| eval suspicious_extensions = if(match(mvjoin(sample_files, ","), "\.(encrypted|locked|crypt|enc|ransom)"), "YES", "NO")
| where suspicious_extensions="YES" OR unique_files > 500
| sort - unique_files

卷影副本删除（T1490）：

index=wineventlog sourcetype="WinEventLog:Security" OR index=sysmon EventCode=1
(CommandLine="*vssadmin*delete*shadows*" OR CommandLine="*wmic*shadowcopy*delete*"
 OR CommandLine="*bcdedit*/set*recoveryenabled*no*" OR CommandLine="*wbadmin*delete*catalog*")
| table _time, Computer, User, ParentImage, Image, CommandLine

勒索软件说明文件创建：

index=sysmon EventCode=11
 TargetFilename IN ("*README*.txt", "*DECRYPT*.txt", "*RANSOM*.txt", "*RECOVER*.html", "*HOW_TO*.txt")
| stats count by Computer, Image, TargetFilename
| where count > 5

Elastic Security EQL 变体：

sequence by host.name with maxspan=2m
  [process where event.type == "start" and
    process.args : ("*vssadmin*", "*delete*", "*shadows*")]
  [file where event.type == "creation" and
    file.name : ("*README*DECRYPT*", "*RANSOM*", "*HOW_TO_RECOVER*")]

步骤 2：构建分诊决策树

勒索软件告警分诊
│
├── 加密是否正在进行？
│   ├── 是 → 立即：从网络隔离主机（步骤 3）
│   │         不要关机（保留内存用于取证）
│   └── 否 → 这是加密前的指标吗？
│       ├── 卷影副本删除 → 高优先级：隔离并调查
│       ├── 已知勒索软件哈希 → 高优先级：封锁哈希，全企业扫描
│       └── 可疑进程行为 → 中优先级：调查，准备隔离
│
├── 受影响主机数量？
│   ├── 单台主机 → 已控制事件，执行主机隔离流程
│   ├── 多台主机（2-10 台）→ 升级至二级，启动全企业扫描
│   └── 全企业（>10 台）→ 启动完整 IR 团队，联系外部顾问
│
└── 数据外泄是否已确认？
    ├── 是 → 双重勒索场景，联系法务进行泄露通知
    └── 否/未知 → 检查 Cobalt Strike/C2 信标，审查出站传输

步骤 3：遏制流程

通过 EDR 进行网络隔离（CrowdStrike Falcon）：

# 使用 CrowdStrike Falcon API 隔离主机
curl -X POST "https://api.crowdstrike.com/devices/entities/devices-actions/v2?action_name=contain" \
  -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"ids": ["device_id_here"]}'

通过 Microsoft Defender for Endpoint 进行网络隔离：

# 通过 MDE API 隔离机器
$headers = @{Authorization = "Bearer $token"}
$body = @{Comment = "Ransomware containment - IR-2024-0500"; IsolationType = "Full"} | ConvertTo-Json
Invoke-RestMethod -Uri "https://api.securitycenter.microsoft.com/api/machines/$machineId/isolate" `
    -Method Post -Headers $headers -Body $body -ContentType "application/json"

防火墙紧急规则：

# Palo Alto — 阻止 SMB 横向扩散
set rulebase security rules RansomwareContainment from Trust to Trust
set rulebase security rules RansomwareContainment application ms-ds-smb
set rulebase security rules RansomwareContainment action deny
set rulebase security rules RansomwareContainment disabled no
commit

Active Directory 紧急操作：

# 禁用被攻陷账号
Disable-ADAccount -Identity "compromised_user"

# 重置 Kerberos TGT（如果域管理员被攻陷）
# 警告：这将重置 krbtgt，需要间隔 12 小时以上重置两次
Reset-KrbtgtKeys -Server "DC-PRIMARY" -Force

# 通过禁用远程服务阻止横向移动
Set-Service -Name "RemoteRegistry" -StartupType Disabled -Status Stopped

步骤 4：证据采集与保全

在修复之前采集取证证据：

# 捕获运行中的进程和网络连接
Get-Process | Export-Csv "C:\IR\processes_$(hostname).csv"
Get-NetTCPConnection | Export-Csv "C:\IR\netstat_$(hostname).csv"

# 捕获内存转储（如果主机仍在运行）
winpmem_mini_x64.exe C:\IR\memory_$(hostname).raw

# 采集勒索软件证据
Copy-Item "C:\Users\*\Desktop\*README*" "C:\IR\ransom_notes\" -Recurse
Copy-Item "C:\Users\*\Desktop\*.encrypted" "C:\IR\encrypted_samples\" -Force

# 捕获事件日志
wevtutil epl Security "C:\IR\Security_$(hostname).evtx"
wevtutil epl System "C:\IR\System_$(hostname).evtx"
wevtutil epl "Microsoft-Windows-Sysmon/Operational" "C:\IR\Sysmon_$(hostname).evtx"

步骤 5：根除与恢复

识别勒索软件变体：

将加密样本和勒索说明上传至 ID Ransomware (https://id-ransomware.malwarehunterteam.com/)
在 No More Ransom Project (https://www.nomoreransom.org/) 检查可用解密工具
在 MalwareBazaar 搜索勒索软件家族 IOC

在 Splunk 中进行全企业 IOC 扫描：

index=sysmon (EventCode=1 OR EventCode=11 OR EventCode=3)
(TargetFilename="*ransomware_binary_name*" OR sha256="KNOWN_HASH"
 OR DestinationIp="C2_IP_ADDRESS" OR CommandLine="*malicious_command*")
| stats count by Computer, EventCode, Image, CommandLine
| sort - count

从备份恢复：

验证备份完整性（离线/不可变备份未受影响）
从已知良好镜像重建受影响系统
从最后干净备份恢复数据
在重新连接到网络前验证已恢复系统
对已恢复系统监控 72 小时以防止再次感染

步骤 6：事后文档

以经验教训结构化手册结论：

事后复盘模板
1. 事件时间线（从检测到完全恢复）
2. 初始入侵向量识别
3. 驻留时间分析（从初始入侵到加密的时间）
4. 已识别的检测差距
5. 响应效率指标（MTTD、MTTC、MTTR）
6. 建议的手册改进措施
7. 已部署的新检测规则
8. 备份和恢复流程更新

核心概念

术语	定义
双重勒索（Double Extortion）	将数据加密与数据窃取相结合的勒索软件策略，威胁若不支付赎金则公开数据
驻留时间（Dwell Time）	从初始入侵到检测之间的时长——勒索软件运营者平均在加密前潜伏 5-9 天
MTTC	平均遏制时间——从检测到成功隔离受影响系统的时间
杀伤链（Kill Chain）	勒索软件攻击进程：初始访问 -> 执行 -> 持久化 -> 权限提升 -> 横向移动 -> 数据收集 -> 外泄 -> 影响
不可变备份（Immutable Backup）	在规定保留期内无法修改或删除的备份存储（WORM 存储）
RTO/RPO	恢复时间目标/恢复点目标——最大可接受的停机时间和数据丢失阈值

工具与系统

CrowdStrike Falcon / SentinelOne：具备网络隔离、进程终止和威胁狩猎能力的 EDR 平台
Splunk ES / Elastic Security：用于检测规则部署和全企业 IOC 扫描的 SIEM 平台
ID Ransomware：通过加密文件样本和勒索说明识别勒索软件变体的在线服务
No More Ransom Project：Europol 支持的计划，为已知勒索软件家族提供免费解密工具
Veeam / Rubrik：支持不可变备份和即时恢复能力的企业级备份解决方案

常见场景

LockBit 攻击：通过 SMB 横向移动和批量文件加密检测——隔离并扫描 Cobalt Strike 信标
BlackCat/ALPHV：通过创建勒索软件说明文件检测——检查通过 Rclone 或 Mega 上传的数据外泄
Conti/Royal：通过卷影副本删除检测——检查是否存在 BazarLoader/Emotet 初始访问
RansomHub：通过异常进程执行检测——调查是否存在被攻陷的 VPN 或 RDP 凭据
Play Ransomware：通过服务账号滥用检测——审计 AD 中新创建的账号和组成员变更

输出格式

勒索软件手册执行 — IR-2024-0500
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
阶段 1 - 检测：
  告警：      FILESERVER-03 检测到批量文件加密
  变体：      LockBit 3.0（通过 ID Ransomware 确认）
  MTTD：       从首次加密到 SOC 告警 12 分钟

阶段 2 - 遏制：
  [完成] FILESERVER-03 于 14:35 UTC 通过 CrowdStrike 完成隔离
  [完成] 通过防火墙紧急规则全企业封锁 SMB
  [完成] 被攻陷服务账号在 AD 中已禁用
  MTTC：       23 分钟

阶段 3 - 根除：
  [完成] 发现并隔离 3 台额外的 C2 信标主机
  [完成] Cobalt Strike C2 域名（c2[.]evil[.]com）已被沉洞处理
  [完成] 全企业 IOC 扫描完成——无其他感染

阶段 4 - 恢复：
  [完成] FILESERVER-03 从黄金镜像重建
  [完成] 从不可变 Veeam 备份恢复数据（RPO：4 小时）
  [完成] 系统监控 72 小时——无再次感染
  MTTR：       18 小时

受影响总数：1 台服务器，3 台工作站
数据丢失：  4 小时的文件修改（备份 RPO）
数据外泄：  未发现数据外泄证据