asmitdesai/velociraptor-threat-hunting

# Velociraptor 威胁狩猎 一个基于 Velociraptor 构建的实战威胁狩猎环境，部署在 Ubuntu（服务器）和 Windows（客户端）虚拟机上。该项目展示了端到端的 DFIR 能力——从基础设施部署到自定义 VQL Artifact 开发以及记录的狩猎发现。 ## 架构 ``` ┌─────────────────────────────────────┐ │ MacBook M4 Pro (Host) │ │ │ │ ┌──────────────┐ ┌─────────────┐ │ │ │ Ubuntu 24.04 │ │ Windows 11 │ │ │ │ (Server) │◄─┤ (Client) │ │ │ │ 10.211.55.10 │ │ 10.211.55.11│ │ │ └──────────────┘ └─────────────┘ │ │ Parallels Desktop (arm64) │ └─────────────────────────────────────┘ ``` - **Server:** Ubuntu 24.04 (arm64) 上的 Velociraptor v0.75.x，静态 IP，自签名 TLS - **Client:** Windows 11 上的 Velociraptor agent，通过 MSI 包注册 - **Network:** 仅主机虚拟网络，无外部依赖 ## 仓库结构 ``` velociraptor-threat-hunting/ ├── README.md ├── server/ │ └── server.config.yaml.example # Sanitized — no keys or certs ├── client/ │ └── client.config.yaml.example ├── artifacts/ │ └── *.yaml # Custom VQL artifacts ├── hunts/ │ └── *.yaml # Exported hunt definitions ├── reports/ │ └── *.md # Hunt findings and analysis └── docs/ └── setup.md # Full deployment walkthrough ``` ## 狩猎与发现 | 狩猎 | 战术 | MITRE ATT&CK | 结果 | 报告 | |------|--------|--------------|--------|--------| | CertUtil LOLBin 下载 | 防御规避 | [T1105](https://attack.mitre.org/techniques/T1105/) | 未检测到异常 — 已建立干净基线 | [报告](./reports/DefenseEvasion_CertUtil_Hunt.md) | | 网络共享枚举 | 发现 | [T1135](https://attack.mitre.org/techniques/T1135/) | **发现：** 公共路径中存在非标准共享 `Backup_Internal` — 违反最小权限原则 | [报告](./reports/Discovery_NetworkShares_Hunt.md) | | 可疑 PowerShell 执行 | 执行 | [T1059.001](https://attack.mitre.org/techniques/T1059/001/) | **模拟命中：** 通过 `cmd.exe` 父进程检测到 `-EncodedCommand` + `-WindowStyle Hidden` | [报告](./reports/Execution_SuspiciousPowerShell_Hunt.md) | | 新服务安装 | 持久化 | [T1543.003](https://attack.mitre.org/techniques/T1543/003/) | 未检测到异常 — 所有服务均从受信任路径运行；已捕获基线 | [报告](./reports/Persistence_NewServices_Hunt.md) | 狩猎报告位于 [`/reports`](./reports/)。每份报告包括所使用的 VQL artifact、原始发现以及分析师评注。 ## 自定义 VQL Artifacts 所有 artifacts 位于 [`/artifacts`](./artifacts/)，通过 [`hunts/Global_Threat_Hunt.yaml`](./hunts/Global_Threat_Hunt.yaml) 打包为单个全网范围的狩猎任务。 | Artifact | 用途 | |----------|---------| | `Custom.Windows.Persistence.RunKeys` | 标记在 Run/RunOnce 注册表键中从 Temp/AppData 路径执行的二进制文件 | | `Custom.Windows.Persistence.NewServices` | 检测在标准 Windows 路径之外运行的服务 | | `Custom.Windows.Execution.SuspiciousPowerShell` | 识别带有混淆/绕过标志的 PowerShell | | `Custom.Windows.Discovery.NetworkShares` | 枚举非默认网络共享 | | `Custom.Windows.DefenseEvasion.CertUtilDownload` | 检测被滥用于下载 payload 的 `certutil.exe` | ## 设置 完整的部署演练请参阅 [`docs/setup.md`](./docs/setup.md)，涵盖： - Parallels 网络配置（仅主机、静态 IP） - Velociraptor 服务器安装（Ubuntu arm64） - 配置生成和管理员用户创建 - Windows 客户端打包和 MSI 部署 - 防火墙规则和服务配置 ## 展示的技能 - 从零开始部署 Velociraptor 服务器/客户端 - 开发用于威胁狩猎的自定义 VQL artifact - DFIR 工作流：狩猎设计 → 采集 → 分类 → 报告 - 跨持久化、执行、发现和防御规避战术的 MITRE ATT&CK 技术映射 ## 参考资料 - [Velociraptor 文档](https://docs.velociraptor.app) - [VQL 参考](https://docs.velociraptor.app/vql_reference/) - [Velociraptor Artifact 交换库](https://docs.velociraptor.app/exchange/)

标签：DAST, EDR, Parallels Desktop, Velociraptor, VQL, 内核研究, 域环境安全, 安全实验室, 开源安全工具, 恶意软件分析, 数字取证, 用户态调试, 端点检测与响应, 脆弱性评估, 脱壳工具, 自动化脚本, 自定义Artifact, 虚拟化环境, 逆向工程平台