albe290/threat-hunt-anydesk-unauthorized-remote-access
GitHub: albe290/threat-hunt-anydesk-unauthorized-remote-access
一个基于 Splunk 与 EDR 的威胁狩猎案例研究,用于识别并检测未经授权的 AnyDesk 远程访问活动。
Stars: 1 | Forks: 0
# 🛡️ 威胁狩猎案例研究:检测未经授权的远程访问(Splunk + EDR)
## 📌 概述
本项目记录了一次以**威胁情报驱动的狩猎**,旨在识别企业环境中的未经授权远程访问活动。调查的启动基于对手使用远程访问工具(例如 AnyDesk)进行“手工键盘操作”的战术指示。
目标是判断观察到的活动是**良性使用、策略违规,还是潜在的恶意行为**,同时提升检测可见性与操作感知。
## 🎯 目标
* 识别可疑的远程访问软件执行
* 验证活动是否符合已批准的企业控制策略
* 区分良性行为、非标准行为与潜在恶意行为
* 开发检测逻辑以提升对未管理工具的可见性
## 🔍 调查流程
本次狩猎遵循结构化的威胁狩猎生命周期:
1. **发现** – 识别 AnyDesk 执行的存在
2. **范围界定** – 按主机与用户分组活动
3. **深度分析** – 提取进程、命令行与文件路径详情
4. **验证** – 审查原始遥测数据以确认准确性
5. **聚合** – 汇总跨用户与端点的活动
6. **检测开发** – 识别可用于告警的模式
7. **异常分析** – 分离正常行为与可疑行为
## 📸 调查逐步演示
### 1. 发现 – 识别 AnyDesk 执行
### 2. 主机范围界定 – 识别受影响系统
### 3. 多用户分析 – 识别跨用户传播
### 4. 针对性调查 – 对特定主机深入分析
### 5. 原始事件验证 – 确认执行细节
### 6. 深度分析 – 进程与命令行拆解
## 🔍 关键发现
* 在**多个用户与端点**上识别出未经授权的 AnyDesk 执行
* 观察到从**用户可写目录**(Downloads、Temp)执行的迹象,表明存在控制缺口
* 检测到重复执行模式,暗示**非标准远程访问使用**
* 通过**原始遥测、进程执行日志与命令行分析**验证活动
* 区分了**良性使用与潜在安全风险**
## 🚨 开发的检测逻辑
**告警名称:** `BT - AnyDesk From User-Writable Path`
### 检测策略:
* 监控 `AnyDesk.exe` 的执行
* 标记来自以下路径的执行:
* `C:\Users\*\Downloads\`
* `C:\Users\*\AppData\Temp\`
* 其他用户可写目录
### 目标:
* 检测未经授权或未受管理的远程访问工具
* 提升对策略违规与潜在攻击向量的可见性
## 💼 业务影响
* 提升对未经授权远程访问软件使用的可见性
* 实现**策略违规与控制缺口**的快速识别
* 为安全与合规团队提供经过验证的发现
* 降低企业端点上的未授权远程访问风险
* 通过可重复的逻辑强化检测能力
## 📄 威胁狩猎报告
可在此查看经过脱敏的完整威胁狩猎报告:
➡️ [查看报告](docs/threat_hunt_report_sanitized.md)
## 🛠️ 工具与技术
* **Splunk**(SIEM)
* **BeyondTrust**(EDR / 特权访问遥测)
* **MITRE ATT&CK 框架**
* 以威胁情报驱动的分析
## 📂 仓库结构
```
.
├── README.md
├── queries/
│ ├── discovery_query.txt
│ ├── host_scoping_query.txt
│ ├── targeted_host_investigation.txt
│ ├── raw_event_validation.txt
│ ├── user_activity_summary.txt
│ ├── multi_user_summary.txt
│ ├── outlier_uninstall_analysis.txt
│ └── README.md
├── screenshots/
│ ├── Discover Query.png
│ ├── Host Scoping.png
│ ├── Multi-user-summary.png
│ ├── Single User.png
│ ├── Raw Event.png
│ └── Deep Analysis.png
```
## 🔐 数据处理说明
本项目中的所有数据均已**脱敏与匿名化**:
* 主机名已替换(例如:`HOST_01`)
* 用户名已替换(例如:`USER_01`)
* 域与租户标识符已脱敏
* 哈希值与内部标识符已遮蔽
这确保在保护敏感信息的同时保留检测逻辑。
## 🚀 核心要点
本项目展示了以下能力:
* 进行**端到端威胁狩猎**
* 分析**大规模 SIEM + EDR 遥测**
* 使用**原始事件数据**验证发现
* 将调查转化为**检测工程输出**
* 以**清晰的业务影响**传达发现
## 👤 作者
Albert Glenn
网络安全工程师 | 威胁检测 | 漏洞管理
### 2. 主机范围界定 – 识别受影响系统
### 3. 多用户分析 – 识别跨用户传播
### 4. 针对性调查 – 对特定主机深入分析
### 5. 原始事件验证 – 确认执行细节
标签:AnyDesk, DNS 解析, EDR, HTTP工具, IOC, IP 地址批量处理, Mutation, PE 加载器, TTP, 企业安全, 可视化, 告警规则, 威胁情报, 对手行为, 开发者工具, 异常检测, 控制缺口识别, 未授权访问, 检测开发, 网络资产管理, 脆弱性评估, 远程访问, 遥测分析