Saravanan-Patrick/Project-01-Real-World-Threat-Hunting

# 项目-01-真实世界威胁狩猎 真实世界威胁狩猎 - 40,372 条 Sysmon 日志 | Splunk Cloud | 84 个攻击者 IP | 12,431 次 RDP 暴力破解 | 检测到横向移动 | 映射至 MITRE ATT&CK ## 威胁狩猎报告 ## 项目 01 — 真实世界日志分析 协同 RDP 暴力破解与横向移动调查 分析师：Saravanan | 工具：Splunk Cloud | 数据集：MyDFIR 培训数据 日期：2026 年 3 月 ## 严重程度：严重 (CRITICAL) ## 状态：检测到活跃威胁 ## 执行摘要 ## 严重 — 检测到协同 RDP 暴力破解攻击 在对 40,372 个 Sysmon 日志事件进行威胁狩猎分析期间，发现针对远程桌面协议 (RDP) 端口 3389 的协同且持续的暴力破解攻击。共有 84 个唯一的外部 IP 地址对内部目标发起了 12,431 次连接尝试。还检测到来自 IP 172.16.1.4 的成功内部横向移动证据，表明攻击链已突破初始访问阶段。 | 指标 | 数值 | | ------ | ----- | | 分析的事件总数 | 40,372 条 Sysmon 日志事件 | | 调查工具 | Splunk Cloud — SPL 查询 + 仪表板 | | 数据来源 | MyDFIR SOC 培训数据集 (178MB CSV) | | 攻击类型 | 协同 RDP 暴力破解 + 横向移动 | | RDP 尝试总数 | 12,431 次连接尝试 | | 唯一攻击者 IP | 84 个外部 IP 地址 | | 目标端口 | 3389/TCP — 远程桌面协议 (RDP) | | 目标 IP | 172.16.1.14 (内部) | | 内部移动 IP | 172.16.1.4 — 12,460 个事件 | | 总体严重程度 | 严重 (CRITICAL) | | 分析师 | Saravanan | | 报告日期 | 2026 年 3 月 | ## 第 1 部分 — 调查环境 | 组件 | 详情 | | ------- | -------- | | SIEM 平台 | Splunk Cloud 免费试用版 | | 数据集 | MyDFIR SOC 培训数据集 — 178MB CSV | | 日志类型 | Windows Sysmon Operational 日志 | | 事件总数 | 40,372 个事件 | | 创建的索引 | threat_hunt | | 查询语言 | SPL — 搜索处理语言 | | 仪表板 | 项目 01 — 真实世界威胁狩猎仪表板 | | 分析方法 | 主动威胁狩猎 — 未触发警报 | 本次调查采用了**主动**威胁狩猎 —— 无需等待自动化警报即可分析日志。这是区分 Tier 1 分析师和 Tier 2 威胁猎人的高级 SOC 技能。 ## 第 2 部分 — 数据集中发现的 Sysmon 事件 ID Sysmon (系统监视器) 是一项记录详细系统活动的 Windows 服务。在数据集中识别出以下事件 ID： | 事件 ID | 事件名称 | 计数 | 威胁意义 | | ------- | --------- | ---------- | --------------- | | 1 | 进程创建 (Process Creation) | 860 | 恶意软件执行 — 创建了新进程 | | 3 | 网络连接 (Network Connection) | 12,431 | 严重 — 海量出站连接 | | 10 | 进程访问 (Process Access) | — | 凭据转储 — LSASS 访问 | | 11 | 文件创建 (File Created) | — | 恶意软件在系统上投放文件 | | 13 | 注册表修改 (Registry Modified) | 4,346 | 持久化 — 注册表键被修改 | | 22 | DNS 查询 (DNS Query) | 801 | C2 通信 — 可疑 DNS 查询 | ## 第 3 部分 — 攻击时间线与阶段 | 阶段 | 步骤 | 证据 | 事件 | | ----- | ------- | -------- | -------- | | 阶段 1 | 外部侦察 | 84 个 IP 扫描 RDP 端口 3389 | 初始探测 | | 阶段 2 | 暴力破解攻击 | 12,431 次 RDP 连接尝试 | 12,431 个事件 | | 阶段 3 | 初始访问 | 疑似成功认证 | EventID 3 | | 阶段 4 | 内部横向移动 | 172.16.1.4 活跃，包含 12,460 个事件 | 12,460 个事件 | | 阶段 5 | 持久化 | 检测到 4,346 次注册表修改 | 4,346 个事件 | | 阶段 6 | C2 通信 | 对 KCD-EXCH01 + 外部的 DNS 查询 | 801 个事件 | 此次攻击遵循完整的网络杀链 —— 从侦察到命令与控制 (C2)。Sysmon 日志中提供了所有 6 个阶段的证据。 ## 第 4 部分 — 关键威胁发现 [严重] 发现 1 — 84 个外部 IP 发起的协同 RDP 暴力破解 共有 84 个唯一的外部 IP 地址针对端口 3389 上的内部目标 172.16.1.14 发起了协同 RDP 暴力破解攻击。仅首要攻击者 IP 195.3.222.252 就发起了 879 次连接尝试。跨 84 个 IP 的协同性质强烈暗示了僵尸网络或有组织的威胁行为者团伙。总尝试次数 12,431 个事件。 [严重] 发现 2 — 检测到内部横向移动 (172.16.1.4) 内部 IP 172.16.1.4 生成了 12,460 个 Sysmon 事件，包括 EventID 3（12,431 次网络连接）和 EventID 22（29 次 DNS 查询）。这种内部活动强烈表明攻击者已成功获得访问权限，并正在内部网络中进行横向移动 —— 这是高级持续性威胁 (APT) 行为的典型特征。 [严重] 发现 3 — 注册表持久化机制 (4,346 个事件) EventID 13（注册表值设置）记录了 4,346 次修改。如此大量的注册表更改高度可疑，表明攻击者正在建立持久化机制 —— 确保即使在系统重启后仍能维持访问权限。常见的持久化位置包括 HKLM\Software\Microsoft\Windows\CurrentVersion\Run。 [高] 发现 4 — 包括内部 Exchange 服务器在内的可疑 DNS 活动 EventID 22（DNS 查询）显示有 801 个事件，其中包含对 KCD-EXCH01（内部 Microsoft Exchange 邮件服务器）的重复查询。这种针对邮件服务器的行为表明攻击者可能试图访问电子邮件数据、横向移动到 Exchange 服务器，或将其用作 C2 中继点。 [高] 发现 5 — 多个攻击载体同时活跃 EventID 1（进程创建）、3（网络）、11（文件创建）、13（注册表）和 22（DNS）的同时存在表明多种攻击技术正在并发运行。这与受损系统上运行的自动化攻击框架或恶意软件工具包的行为一致。 [中] 发现 6 — 检测到 WinRM 端口 5985 活动 数据集中识别出了端口 5985（Windows 远程管理）。WinRM 通常被攻击者用于初始访问后的横向移动和远程命令执行。这补充了 RDP 暴力破解的发现，表明攻击者正在探测多个远程访问载体。 ## 第 5 部分 — 入侵指标 (IOC) ## 恶意外部 IP 地址 | IP 地址 | 攻击次数 | 类型 | 威胁 | | -------- | ----------- | -------- | --------- | | 195.3.222.252 | 879 | 外部攻击者 | 首要 RDP 暴力破解来源 | | 193.34.212.189 | 863 | 外部攻击者 | RDP 暴力破解来源 | | 149.50.101.27 | 861 | 外部攻击者 | RDP 暴力破解来源 | | 149.50.116.7 | 859 | 外部攻击者 | RDP 暴力破解来源 | | 38.225.206.208 | 679 | 外部攻击者 | RDP 暴力破解来源 | | 194.165.16.165 | 669 | 外部攻击者 | RDP 暴力破解来源 | | 194.165.16.166 | 648 | 外部攻击者 | RDP 暴力破解来源 | | 194.165.16.167 | 663 | 外部攻击者 | RDP 暴力破解来源 | | 45.227.254.155 | 663 | 外部攻击者 | RDP 暴力破解来源 | | 88.214.25.123 | 665 | 外部攻击者 | RDP 暴力破解来源 | | 88.214.25.125 | 440 | 外部攻击者 | RDP 暴力破解来源 | | 另外 81 个 IP | 各约 450 次 | 外部攻击者 | 协同僵尸网络攻击 | ## 内部可疑活动 | IOC 类型 | 数值 | 意义 | | ------- | ------- | ----------- | | 内部 IP | 172.16.1.4 | 横向移动来源 — 12,460 个事件 | | 目标 IP | 172.16.1.14 | RDP 目标 — 接收了 12,431 次尝试 | | 目标端口 | 3389/TCP RDP | 远程桌面 — 主要攻击载体 | | 次要端口 | 5985/TCP WinRM | 探测 Windows 远程管理 | | DNS 目标 | KCD-EXCH01 | 针对内部 Exchange 服务器 | | 外部 DNS | ecs.office.com | Microsoft Office 365 — 可能的数据渗出 | | 事件 ID 模式 | 1,3,10,11,13,22 | 完整的攻击工具包处于活跃状态 | | 注册表活动 | 4,346 次更改 | 已安装持久化机制 | | 进程活动 | 860 次创建 | 正在执行恶意软件或工具 | ## 第 6 部分 — 调查中使用的 SPL 查询 • 初始数据探索： index=threat_hunt | head 20 • 事件总数统计： index=threat_hunt | stats count • 热门目标端口： index=threat_hunt | stats count by DestinationPort | sort -count • 热门来源 IP： index=threat_hunt | stats count by SourceIp | sort -count | head 20 • RDP 活动 — 端口 3389： index=threat_hunt DestinationPort=3389 | stats count by SourceIp | sort -count • Sysmon 事件分布： index=threat_hunt | stats count by EventID | sort -count • 首要攻击者调查： index=threat_hunt SourceIp="195.3.222.252" | stats count by EventID | sort -count • 进程创建事件： index=threat_hunt EventID=1 | table _time Computer CommandLine | head 20 • 网络连接： index=threat_hunt EventID=3 | table _time Computer DestinationIp DestinationPort | head 20 • 注册表修改： index=threat_hunt EventID=13 | table _time Computer TargetObject Details | head 20 • DNS 查询： index=threat_hunt EventID=22 | table _time Computer QueryName | head 20 • 内部 IP 分析： index=threat_hunt "172.16.1.4" | stats count by EventID | sort -count • Exchange 服务器查询： index=threat_hunt QueryName="KCD-EXCH01" | table _time Computer QueryName | head 20 index=threat_hunt "172.16.1.4" | stats count by EventID | sort -count • Exchange 服务器查询： index=threat_hunt QueryName="KCD-EXCH01" | table _time Computer QueryName | head 20 ## 第 7 部分 — MITRE ATT&CK; 框架映射 | 战术 (Tactic) | 技术 ID | 技术名称 | 日志中的证据 | | ------- | ---------- | -------------- | --------------- | | 侦察 (Reconnaissance) | T1595 | 主动扫描 (Active Scanning) | 84 个 IP 扫描端口 3389 | | 初始访问 (Initial Access) | T1110.001 | 暴力破解：密码猜测 (Brute Force: Password Guessing) | 12,431 次 RDP 尝试 | | 初始访问 (Initial Access) | T1021.001 | 远程服务：RDP (Remote Services: RDP) | RDP 端口 3389 被锁定| 执行 (Execution) | T1059 | 命令和脚本 (Command and Scripting) | 860 个进程创建事件 | | 持久化 (Persistence) | T1547 | 启动/登录自动启动 (Boot/Logon Autostart) | 4,346 次注册表修改 | | 横向移动 (Lateral Movement) | T1021.001 | 远程服务：RDP (Remote Services: RDP) | 172.16.1.4 正在内部移动 | | 横向移动 (Lateral Movement) | T1021.006 | Windows 远程管理 (Windows Remote Management) | 端口 5985 WinRM 活动 | | C2 | T1071 | 应用层协议 (Application Layer Protocol) | 对外部主机的 DNS 查询 | | C2 | T1071.004 | DNS | 801 个 DNS 查询事件 | | 收集 (Collection) | T1114 | 电子邮件收集 (Email Collection) | KCD-EXCH01 Exchange 被锁定 | ## 第 8 部分 — 建议与修复 立即执行 — 在边界防火墙阻断所有 84 个攻击者 IP 本次调查中识别出的所有 84 个外部 IP 地址应立即在边界防火墙处被阻断。优先阻断：195.3.222.252、193.34.212.189、149.50.101.27、149.50.116.7、38.225.206.208。考虑阻断整个 /24 子网，因为攻击显示出像 194.165.16.x 这样的协同范围。 立即执行 — 禁用 RDP 对互联网的暴露 RDP 端口 3389 绝不应直接暴露在互联网上。实施仅限 VPN 的 RDP 访问。如果必须保持 RDP 可访问，请添加网络级别身份验证 (NLA)，启用 3 次失败尝试后的账户锁定策略，并仅限特定的受信任 IP 范围访问。 立即执行 — 调查内部 IP 172.16.1.4 显示 12,460 个可疑事件的内部 IP 172.16.1.4 需要立即进行取证调查。将此机器从网络隔离，捕获内存转储，分析正在运行的进程，检查注册表运行键中的持久化，并审查在攻击窗口期间创建的所有文件。 高优先级 — 启用账户锁定策略 12,431 次暴力破解尝试在没有账户锁定的情况下成功。立即配置组策略：账户锁定阈值 = 3 次尝试，锁定持续时间 = 30 分钟，重置计数器 = 15 分钟。仅此一项更改即可阻断整个攻击。 高优先级 — 调查 Exchange 服务器 KCD-EXCH01 内部 Exchange 服务器在 DNS 查询中被锁定。审计所有邮箱访问日志，检查未经授权的电子邮件转发规则，审查管理员账户访问权限，并扫描 Exchange 服务器上的 webshell 或恶意加载项。 中优先级 — 在所有远程访问上实施 MFA RDP 和 WinRM 上的多因素认证 (MFA) 即使在密码被成功暴力破解的情况下也能完全阻止此次攻击。为所有远程访问认证部署 Microsoft Authenticator 或硬件令牌。 中优先级 — 部署 SIEM 警报规则 针对以下情况实施自动化 SIEM 警报：同一 IP 在 60 秒内发生 5 次以上 RDP 登录失败，任何来自非批准列表 IP 的登录，自动启动位置的注册表修改，对新注册或可疑域名的 DNS 查询。 ## 第 9 部分 — 我学到了什么 • 如何在 Splunk Cloud 中摄取和分析 40,372 个真实 Sysmon 日志事件。 • 如何编写 SPL 查询以主动狩猎威胁，而无需等待警报。 • 如何从多个来源 IP 识别协同僵尸网络 RDP 暴力破解模式。 • 如何从可疑的内部 IP 活动中检测内部横向移动。 • Sysmon 事件 ID 1、3、10、11、13 和 22 如何映射到特定的攻击技术。 • 如何构建具有 4 个可视化面板的专业 SOC 威胁狩猎仪表板。 • 如何将真实世界的发现映射到 MITRE ATT&CK; 框架的技术和战术。 • 注册表修改 (EventID 13) 如何指示攻击者的持久化机制。 • DNS 查询 (EventID 22) 如何揭示 C2 通信通道。 • 如何编写包含发现和 IOC 的专业 SOC 级威胁狩猎报告。 • 被动 SOC 工作（等待警报）与主动威胁狩猎之间的区别。 • 真实的企业攻击如何在杀链中同时使用多种技术。 ## 第 10 部分 — 最终调查总结 | 项目 | 结果 | | ------ | ------ | | 项目 | 状态已完成 | | 分析的事件总数 | 40,372 个 Sysmon 事件 | | 数据集来源 | MyDFIR SOC 培训数据集 — 178MB | | SIEM 平台 | Splunk Cloud | | 发现的威胁 | 6 个严重和高严重性发现 | | 攻击者 IP | 84 个唯一的外部 IP 地址 | | RDP 尝试 | 12,431 次暴力破解连接 | | 内部移动 | 172.16.1.4 — 12,460 个可疑事件 | | 注册表更改 | 4,346 次持久化修改 | | DNS 事件 | 801 个查询，包括 Exchange 服务器 | | 创建的仪表板 | 项目 01 真实世界威胁狩猎仪表板 | | MITRE 技术 | 跨 6 个战术映射了 10 种技术 | | 总体严重程度 | 严重 — 检测到活跃威胁 | 如果这个实验对您有帮助，请给它一颗星！

标签：BurpSuite集成, Cloudflare, Conpot, MITRE ATT&CK, MyDFIR, PE 加载器, RDP暴力破解, Splunk Cloud, SPL查询, Sysmon, Windows安全, 安全运营, 异常检测, 扫描框架, 攻击模拟, 数据展示, 横向移动, 端口3389, 红队, 编程规范, 网络安全, 隐私保护, 驱动签名利用