ZBenkova/cybersecurity_lab_threat_hunting

# 网络安全实验室威胁狩猎 我们分析了 Sysmon 和事件查看器日志，以调查 bitsadmin 活动。我们查看了命令行、父进程和登录 ID，随后构建了时间线来还原操作。该活动符合 T1105: Ingress Tool Transfer（工具摄入），并展示了合法工具是如何被滥用的。 在今天的课程中，我们利用 Sysmon 日志和 Windows 事件查看器进行了一次基础威胁狩猎练习。我们分析了在使用 bitsadmin 工具期间生成的自身活动。 首先，我们在 Sysmon 日志中搜索关键字 “bitsadmin”。我们识别出了多个事件，并检查了记录的命令行以了解执行了哪些操作。根据此分析，我们得出结论：假设的攻击者正试图使用合法的 Windows 实用程序从远程 URL 下载文件，这与 T1105: Ingress Tool Transfer 技术相符。活动取得了成功，攻击者展示了对 living-off-the-land 技术的基本了解，尽管并未采用高级的隐蔽手段。 接下来，我们通过关注与该活动关联的登录 ID 扩展了调查范围。我们在事件查看器的 “Windows Logs – Security” 中搜索此值。这使我们将该活动与特定的用户会话关联起来，并识别出相应的登录事件。 我们还检查了 “IntegrityLevel: High” 字段，这表明进程正在以提升的权限运行。这意味着该操作是以管理员权限执行的，从而提供了对系统资源的更大访问权限。 在整个练习过程中，我们使用 Wireshark 观察网络流量，并使用 Sysmon 捕获详细的系统级日志。这项活动帮助我们理解了合法工具如何被以潜在的恶意方式使用，以及如何通过日志分析和关联来检测此类行为。 我们还调查了父进程，以了解是谁发起了该活动。我们分析了 bitsadmin 的执行是由用户登录会话触发的，还是由系统本身触发的。 在 Sysmon 日志中，我们识别出了多次具有不同命令行参数的 bitsadmin 执行。我们仔细检查了每个事件并进行比较，以了解所执行的操作顺序。 然后，我们将所有识别出的事件整理成时间线，这使我们能够逐步重建完整的活动链。这有助于我们确定进程是如何启动的、如何进展的，以及每个命令与总体目标的关系。

标签：BITSAdmin, BurpSuite集成, Conpot, DAST, Living off the Land, LoLBins, Sysmon, T1105, Windows事件查看器, Windows安全, Wireshark, 句柄查看, 命令行分析, 安全实验室, 恶意软件分析, 提权检测, 数字取证, 网络信息收集, 网络安全, 自动化脚本, 隐私保护