martinsaf/windows-threat-hunting

# Windows 威胁狩猎 基于真实日志 的完整调查，包含脚本和报告。 ## 关于 本仓库包含使用真实 Windows 日志（Sysmon 和 Security Events）进行的实战威胁狩猎调查。每项调查都模拟了真实的攻击场景，演示了检测技术、证据分析和 MITRE ATT&CK 映射。 ## 项目结构 ``` windows-threat-hunting/ ├── 📄 LICENSE ├── 📄 README.md │ └── 📁 evtx-analysis/ │ ├── 📁 c2-investigation/ │ ├── 📄 analysis.md # Malicious USB activity analysis │ └── 📁 screenshots/ │ ├── event-ID-13.png # Registry modifications │ └── group-object id.png # Event distribution │ ├── 📁 detecting-mimikatz/ │ ├── 📄 analysis.md # Credential dumping detection │ ├── 📄 hunting.ps1 # Mimikatz detection scripts │ └── 📁 screenshots/ │ └── 📁 hunting-metasploit/ ├── 📄 analysis.md # Metasploit C2 detection ├── 📄 hunting.ps1 # Reverse shell detection scripts └── 📁 screenshots/ └── results.png # Investigation results ``` ## 调查 ### 1. **恶意 USB 活动分析** ([`/c2-investigation`](https://github.com/martinsaf/windows-threat-hunting/blob/main/evtx-analysis/c2-investigation/analysis.md)) 针对涉及 USB 设备的恶意活动的分析： - 恶意 USB 设备识别 - Windows 注册表修改分析 (Event ID 13) - 用于凭证转储的 RawAccessRead 检测 (Event ID 9) - 通过 `rundll32.exe` 的 Payload 执行链 **MITRE ATT&CK:** 通过可移动介质实现持久化 ### 2. 🔑 **检测 Mimikatz** ([`/detecting-mimikatz`](https://github.com/martinsaf/windows-threat-hunting/blob/main/evtx-analysis/detecting-mimikatz/analysis.md)) 使用 Mimikatz 进行的凭证转储活动检测： - LSASS 进程访问分析 (Event ID 10) - 父子进程关联 - 命令行和哈希提取 - 多次 Mimikatz 执行识别 **MITRE ATT&CK:** T1003.001 (OS Credential Dumping: LSASS Memory) ### 3. 🌐 **狩猎 Metasploit** ([`/hunting-metasploit`](https://github.com/martinsaf/windows-threat-hunting/blob/main/evtx-analysis/hunting-metasploit/analysis.md)) 与 Metasploit Payload 相关的 C2 连接检测： - 可疑端口过滤 (4444) - Downloads 文件夹进程分析 - 伪装检测（二进制文件伪装成 ApacheBench） - 进程创建与网络连接关联 **MITRE ATT&CK:** T1043 (常用端口), T1036 (伪装)

标签：AI合规, ATT&CK映射, BurpSuite集成, C2通信, Conpot, EDR, EVTX分析, IP 地址批量处理, Metasploit检测, Mimikatz检测, OpenCanary, PowerShell脚本, Sysmon, Windows安全, 安全分析报告, 数字取证, 数据包嗅探, 脆弱性评估, 自动化脚本, 计算机应急响应, 速率限制处理