Fadimsa/Threat-Hunting-IOC-Analysis-Splunk-VirusTotal-

# 威胁狩猎-IoC 分析 ## TryHackMe 的 Threat Hunting & IOC Analysis 实验室教会了我使用 Splunk SIEM 和 VirusTotal 进行 IOC 扩充的主动狩猎技术。我通过假设驱动的分析，在端点和网络日志中搜寻横向移动、C2 信标和持久化行为，并验证 IOC（IP、哈希、域名）。 ## 掌握的技能 :- 假设驱动的威胁搜寻（PowerShell 滥用、C2 信标、计划任务） 高级 Splunk SPL 查询（tstats、eventstats、异常检测、时间图表） 使用 VirusTotal API 进行 IOC 提取和扩充（信誉度、沙箱行为、关联关系） MITRE ATT&CK 映射和检测规则建议 ## 事件时间线构建和用于 SOC 交接的结构化报告 ## 使用的工具 Splunk SIEM - 威胁狩猎查询和日志关联平台 VirusTotal - IOC 扩充（IP/域名/哈希信誉度、沙箱分析） Windows 日志 - Sysmon (EventCode 1/3/13)、Security (4624/4672)、PowerShell 日志 ## 网络日志 - DNS 查询、用于 C2 检测的代理日志 ## 采取的步骤 : **1. 威胁狩猎 - 可疑的 PowerShell 活动** 我开始使用此 Splunk 查询搜寻 PowerShell 滥用： index=winenv sourcetype=WinEventLog:Security EventCode=4688 CommandLine="IEX" OR CommandLine="DownloadString" OR CommandLine="Invoke" | table _time ComputerName User CommandLine ParentProcess Image | sort - _time 结果显示了从多个端点下载有效载荷的编码 PowerShell 命令。 **2. IOC 狩猎 - 恶意 IP 检测** 从 PowerShell C2 中提取可疑 IP 并通过 VirusTotal 检查： - IP: 83.222.191.2 → 15/90 检测，关联到 Cobalt Strike C2 - 搜索 Splunk：`index=network DestinationIp="83.222.191.2" | stats count by src_ip, dest_port` 发现 3 个端点在 24 小时内连接到端口 9999。 **3. 持久化狩猎 - 计划任务** 检查可疑的计划任务：index=winenv EventCode=4698 ComputerName=WINHOST* TaskName="Update" OR TaskName="Windows" | table _time ComputerName TaskName Author Command ext 发现通过从 Temp 文件夹执行的虚假“WindowsUpdate”任务实现的持久化。 **4. VirusTotal IOC 扩充** 针对恶意哈希 `e8b...def`： 检测：67/92 AV 引擎 首次出现：2026-03-10 沙箱：PowerShell 下载 + WMI 执行 (T1059.001) text 建议：封锁 IP 83.222.191.2，在整个集群中搜寻类似的 PowerShell 模式。 **发现摘要**：识别出 Cobalt Strike 活动 (T1071.001)，其 C2 地址为 83.222.191.2:9999。针对 PowerShell `IEX`+网络模式创建了检测规则。已升级至 L2 进行完整的恶意软件分析。

标签：AI合规, Ask搜索, C2通信, Cloudflare, Cobalt Strike, DAST, DNS 反向解析, IOC分析, IP 地址批量处理, MITRE ATT&CK, PE 加载器, PowerShell滥用, Splunk查询语言, Sysmon, TryHackMe, VirusTotal, 信标检测, 威胁情报, 实验室, 开发者工具, 异常检测, 恶意软件分析, 攻击诱捕, 横向移动, 编程规范, 网络安全, 计划任务, 隐私保护