sp0077/Elastic-SIEM-Web-Attack-Investigation

GitHub: sp0077/Elastic-SIEM-Web-Attack-Investigation

基于 Elastic SIEM 的 SOC 调查案例研究，完整演示了从 Web 利用攻击到权限提升的多阶段入侵分析与 MITRE ATT&CK 映射。

Stars: 0 | Forks: 0

# 🚨 SOC 调查案例研究 — 从 Web 利用到权限提升 **平台:** TryHackMe **使用 SIEM:** Elastic ELK Stack **分析师:** Sarvesh Pandekar ## 📌 场景概述触发了一个高危警报，指示针对内部 Windows Server (winserv2019.some.corp) 的可疑 Web 请求。调查显示了一个完整的攻击链，涉及： * Web 利用尝试 * 远程命令执行 * 非工作时间的管理员登录 * 创建新的持久化账户 * 使用命令行进行权限提升 ## 🧠 警报时间线 | 时间 | 活动 | | ----- | ------------------------------------------------------- | | 04:38 | 可疑的 POST 请求（可能的文件上传漏洞利用） | | 04:45 | 通过 ASPX web shell 执行命令 | | 05:11 | 检测到管理员登录 | | 05:13 | 创建了新用户账户 | | 05:13 | 通过 cmd.exe 进行权限提升 | ## 🔎 调查步骤 ### 🚨 警报 1 — 可疑文件上传尝试 WAF 检测到多个 POST 请求发送至： ``` /ecp/proxyLogon.ecp ``` 这表明存在类似于 **Exchange ProxyLogon 漏洞** 的潜在利用尝试。 📷 警报 1 及调查截图 ![POST 日志](https://raw.githubusercontent.com/sp0077/Elastic-SIEM-Web-Attack-Investigation/main/screenshots/elastic_post_logs.png) 观察结果： * 源 IP → 203.0.113.55 * User Agent → python-requests * HTTP 状态 → 200 (请求被接受) ✅ 结论：攻击者可能尝试上传 web shell。 ### 🚨 警报 2 — 通过 Web Shell 执行命令观察到多个 GET 请求： ``` /errorEE.aspx?cmd= ``` 执行的命令： * rundll32 MiniDump (凭据转储尝试) * Get-Process lsass (侦察) 📷 警报 2 及调查截图 ![Web Shell 命令](https://raw.githubusercontent.com/sp0077/Elastic-SIEM-Web-Attack-Investigation/main/screenshots/elastic_get_logs.png) ✅ 结论：Web shell 已成功部署并使用。 ### 🚨 警报 3 — 管理员登录检测到 Windows Event ID： ``` 4624 — Successful Logon Logon Type: RemoteInteractive (RDP) Source IP: 203.0.113.55 ``` 📷 警报 3 及调查截图 ![管理员登录](https://raw.githubusercontent.com/sp0077/Elastic-SIEM-Web-Attack-Investigation/main/screenshots/elastic_login_event.png) ✅ 结论：攻击者获得了管理员访问权限。 ### 🚨 警报 4 — 创建新的持久化账户 Windows Event ID： ``` 4720 — User Account Created Username: svc_backup ``` 📷 警报 4 及调查截图 ![用户创建](https://raw.githubusercontent.com/sp0077/Elastic-SIEM-Web-Attack-Investigation/main/screenshots/elastic_event_4720.png) ✅ 结论：已建立持久化机制。 ### 🚨 警报 5 — 权限提升活动观察到命令执行： ``` net localgroup "Administrators" svc_backup /add net localgroup "Remote Desktop Users" svc_backup /add ``` 父进程： ``` cmd.exe ``` 📷 警报 5 及调查截图 ![权限提升](https://raw.githubusercontent.com/sp0077/Elastic-SIEM-Web-Attack-Investigation/main/screenshots/elastic_cmd_logs.png) ✅ 结论：攻击者获得了提升的权限。 ## 🔗 攻击链映射 | MITRE 阶段 | 活动 | | -------------------- | ----------------------- | | Initial Access | Web 利用 | | Execution | Web Shell 命令 | | Persistence | 新用户创建 | | Privilege Escalation | Localgroup 修改 | | Lateral Movement | RDP 登录 | ## 🛡️ 建议的缓解措施 * 修补有漏洞的 Exchange / Web 服务 * 限制管理门户的互联网暴露 * 监控 Event ID 4720 & 4732 * 启用 PowerShell Script Block Logging * 部署针对 web shell 模式的 WAF 规则 ## ✅ 最终结论这是一次**成功的多阶段入侵**，起源于 Web 利用，导致在目标服务器上获得了完全的管理控制和持久化。 ⭐ 如果您喜欢这项调查，请随时为该 repo 加星。

标签：BurpSuite集成, CISA项目, Cloudflare, Elastic SIEM, ELK Stack, MITRE ATT&CK, ProxyLogon漏洞, SOC案例研究, TryHackMe, Webshell检测, Web渗透测试, Windows服务器安全, 凭据转储, 协议分析, 安全实验室, 安全运营中心, 持久化攻击, 攻击链分析, 数字取证, 权限提升, 管理员账号劫持, 网络安全, 网络映射, 自动化脚本, 隐私保护, 靶场实战