SDimitri05/threat-hunting-port-of-entry

# 威胁狩猎场景 – 入侵入口

使用 Microsoft Defender for Endpoint 进行威胁狩猎调查，重建涉及 RDP 凭证泄露、恶意软件暂存、防御规避、持久化、凭证转储、数据窃取和横向移动的多阶段攻击。

 ## 概述 本项目记录了在 Microsoft Defender for Endpoint 高级狩猎中进行的威胁狩猎调查。 该调查分析了涉及 **Azuki Import/Export Trading Co.** 所属工作站的可疑活动，此前该组织怀疑在竞争对手开始压低其运输合同价格后遭到了入侵。 利用端点遥测数据和 KQL 查询，本次调查重建了攻击者从**初始访问到横向移动**的活动轨迹。 ## 环境 | 组件 | 描述 | |---|---| | 安全平台 | Microsoft Defender for Endpoint | | 查询语言 | Kusto Query Language (KQL) | | 端点 | AZUKI-SL workstation | | 时间范围 | 11月 19–20 日 | | 调查类型 | 威胁狩猎 | ## 展示的技能 - 使用 Microsoft Defender for Endpoint 进行威胁狩猎 - 使用 KQL 进行高级狩猎 - 端点遥测分析 - 攻击链重建 - MITRE ATT&CK 映射 - 检测工程建议 - 安全事件报告 ## 关键发现 | 阶段 | 发现 | |---|---| | 初始访问 | 来自外部 IP **88.97.178.12** 的 RDP 登录 | | 受损用户 | **kenji.sato** | | 发现 | 使用 `arp -a` 进行网络侦察 | | 恶意软件暂存 | 文件存储在 `C:\ProgramData\WindowsCache` | | 防御规避 | 添加了 Windows Defender 排除项 | | 持久化 | 计划任务 **Windows Update Check** | | 命令与控制 | 连接到 **78.141.196.6:443** | | 凭证访问 | 通过 **mm.exe** 进行凭证转储 | | 收集 | 敏感文件被压缩为 **export-data.zip** | | 窃取 | 数据通过 **Discord** 发送 | | 反取证 | 事件日志被篡改 | | 横向移动 | 尝试使用 `mstsc.exe` 进行 RDP | ## MITRE ATT&CK 映射 | 战术 | 技术 | |---|---| | 初始访问 | 远程服务 (RDP) | | 发现 | 系统网络配置发现 | | 防御规避 | 损害防御 | | 持久化 | 计划任务 | | 命令与控制 | 应用层协议 | | 凭证访问 | 操作系统凭证转储 | | 收集 | 归档收集的数据 | | 窃取 | 通过 Web 服务窃取 | | 防御规避 | 清除 Windows 事件日志 | | 横向移动 | 远程服务 | ## 调查报告 完整的调查详情可在此处查看： `investigation/port-of-entry-threat-hunt-report.md` ## 仓库内容 | 文件夹 | 描述 | |---|---| | investigation | 完整的威胁狩猎报告 | | queries | 调查期间使用的 KQL 查询 | | evidence | 截图和工件 | | assets | 仓库横幅和图片 | ## 作者 **Sun Dimitri NFANDA** 网络安全分析师作品集

标签：Cloudflare, Credential Dumping, Incident Response, KQL, Kusto 查询语言, Lateral Movement, MDE, Microsoft Defender for Endpoint, MITRE ATT&CK, OPA, PE 加载器, RDP 入侵, SOC 运维, Threat Hunting, 嗅探欺骗, 多阶段攻击, 微软终端 defender, 攻击链重建, 数据渗出, 权限维持, 横向移动, 私有化部署, 端点遥测分析, 编程规范, 网络安全, 防御规避, 隐私保护, 靶场, 高级狩猎