bfelton786/threat-hunting-scenario

# 🕵️‍♂️ 威胁狩猎报告：Bridge Takeover ## 🎯 场景 在文件服务器遭到入侵五天后，威胁行为者携带复杂的工具和技术卷土重来。 攻击者从受损的工作站横向移动到 CEO 的行政 PC，部署了持久化后门并 外泄了敏感业务数据，包括财务记录和密码数据库。 ## 💻 受损系统 azuki-adminpc ## 🔎 可用证据 Microsoft Defender for Endpoint 日志 ## Flags ### 🔹 Flag 1 - LATERAL MOVEMENT - 源系统 **目标**：识别横向移动到行政 PC 的源 IP 地址。 **KQL 查询**：  **结果：**  **发现**： - 源 IP：10.1.0.204

标签：APT攻击, CEO攻击, EDR, HTTP工具, KQL查询, MDE, Microsoft Defender for Endpoint, PE 加载器, 企业安全, 协议分析, 后门, 威胁情报, 安全运营, 开发者工具, 扫描框架, 敏感数据泄露, 数据窃取, 权限提升, 横向移动, 编程规范, 网络安全审计, 网络安全报告, 网络资产管理, 脆弱性评估, 蓝队演练, 财务记录安全, 防御加固