Tomason34/HackSmarter-EmberForge-Source-Leak-Investigation

⚠️ 声明：本文由AI辅助撰写，并非本人原创，但所有实际实验操作均由我完成。 # HackSmarter – EmberForge源代码泄露调查 ## 概述 本次调查分析了一起模拟的企业入侵事件，涉及EmberForge公司的源代码被盗。 通过Splunk日志分析，我们从初始执行到数据窃取与持久化完整还原了攻击者的活动轨迹。 ## 调查阶段 ### 阶段一 – 初始执行 - 可疑执行记录： - 恶意DLL从非标准驱动器执行。 - SHA256哈希值： ### 阶段二 – 命令与控制 - 出站连接： - 观测到的域名： ### 阶段三 – 凭证访问 - LSASS转储文件生成： - 执行转储操作的程序： ### 阶段四 – 权限提升 - 通过以下方式绕过UAC： - 注册表修改位置： ### 阶段五 – 数据暂存与外传 - 暂存压缩包： - 数据外传工具： - 云端目标： - 日志中发现的凭据： ### 阶段六 – 持久化 - 计划任务： - 后门账户： - 密码： ### 阶段七 – 反取证 - 安全日志已清除 - 事件ID： ## 影响范围 - 被入侵主机总数： ## 使用工具 - Splunk（SPL查询语言） - Windows事件日志 - Sysmon进程创建日志 - 网络流量分析 ## 展示技能 - 日志分析 - 威胁狩猎 - 进程溯源调查 - 横向移动检测 - 数据外传追踪 - 持久化机制识别 - 事件响应报告 ## 成果 成功还原攻击者从执行、外传到持久化的完整活动链路，识别出完整攻击链及入侵指标。 实验通过HackSmarter.org完成

标签：BurpSuite集成