tanya-priya/hunt-forge
GitHub: tanya-priya/hunt-forge
一个蓝队攻击者模拟与检测工程实验室,通过在虚拟化环境中模拟真实后渗透攻击场景,帮助防御者掌握从攻击模拟、遥测采集到自动化检测与手动威胁狩猎的完整工作流。
Stars: 0 | Forks: 0
# Hunt-Forge: 行为检测与攻击者模拟实验室
Hunt-Forge 是一个 **蓝队实战实验室**,展示了网络攻击的完整生命周期:从使用 **Atomic Red Team** 进行攻击者模拟,到通过 **Sysmon** 收集遥测数据,以及使用 **Sigma** 规则和 **Hayabusa** 进行自动化检测,并结合 **手动威胁狩猎** 和分析师驱动的调查。
目标是演示防御者如何通过基于规则的自动化检测(Sigma + Hayabusa)以及手动、假设驱动的威胁狩猎来检测攻击者行为。
- 进程遥测分析
- 命令行行为分析
- MITRE ATT&CK 技术映射
## 🎯 展示的技能
- **检测工程** — 编写和验证 Sigma 检测规则。
- **攻击者模拟** — 使用 MITRE ATT&CK 框架模拟攻击者的技术。
- **威胁狩猎** — 在 Windows 事件日志 (.evtx) 中调查可疑的进程和命令行活动。
- **终端监控** — 配置 Sysmon 以获取高保真遥测数据。
- **事件分析** — 通过遥测数据和进程关系分析重建攻击者行为。
## 🧠 模拟威胁场景
本实验室模拟了在真实入侵事件中观察到的常见 **后渗透** 攻击者工作流。
对 Windows 主机具有执行能力的攻击者会执行以下操作:
1. 执行 PowerShell 以建立脚本环境。
2. 从外部仓库获取后渗透工具。
3. 执行凭据收集技术,以从 LSASS 内存中获取身份验证凭据。
本练习的目的是评估是否可以通过 Hayabusa 中的 **Sysmon 进程遥测** 和 **基于 Sigma 的检测** 逻辑来检测诸如 PowerShell 下载载体和 LSASS 凭据转储等攻击者行为,并通过 **手动威胁狩猎** 和进程分析进一步调查这些事件。
## 🖥️ 工具与环境
| 类别 | 技术 |
|----------|------------|
| 攻击者模拟 | Atomic Red Team (Invoke-AtomicRedTeam) |
| 遥测与日志 | Microsoft Sysmon, Windows Event Logs |
| 分析引擎 | Hayabusa (基于 Sigma 的威胁狩猎) |
| 实验室环境 | Windows 10 Pro (目标机) 运行在 Ubuntu 24.04 LTS (KVM 宿主机) 上 |
```
flowchart TD
A["Emulate
Atomic Red Team executes TTPs"] B["Capture
Sysmon generates high-fidelity process telemetry (Event ID 1)"] C["Hunt
Hayabusa parses EVTX logs against 3000+ Sigma rules"] D["Analyze
Analyst reconstructs attack timeline"] A --> B --> C --> D ```
### 阶段 1: 环境设置
Windows 10 Pro 虚拟机配置了自定义的 Sysmon 配置,以捕获:
- 父子进程关系
- 命令行参数
- 文件创建和修改事件
### 阶段 2: 执行与检测
使用 Hayabusa 内置的 Sigma 规则集模拟并检测了以下攻击者技术。对生成的遥测数据进行了分析,并用于开发本仓库中包含的自定义检测规则。
| MITRE ID | 技术 | 检测逻辑 | 入侵指标 |
| :--- | :--- | :--- | :--- |
| **T1059.001** | PowerShell 执行 | `IEX` + `Net.WebClient` 下载载体 | 正在执行远程脚本的 `DownloadString(...)` |
| **T1105** | 入站工具传输 | 从外部源检索远程脚本 | PowerShell 下载载体 (`Net.WebClient + DownloadString`) |
| **T1003.001** | 凭据转储 | `rundll32.exe` 调用 `comsvcs.dll MiniDump` | 可疑的进程内存转储 (`*.dmp`) |
**攻击流:**
PowerShell 执行 → 远程脚本下载 → 凭据转储
### 检测洞察:进程树分析
在阶段 2 期间,观察到了以下执行链:
```
powershell.exe (Execution)
└── cmd.exe
└── powershell.exe (Script Block Execution)
└── rundll32.exe (Memory Dumping)
```
## 📖 详细分析与文档
有关本实验室特定日志、方法和发现的深入探讨,请参阅以下文档:
- **[分析报告](docs/analysis-report.md)** — 对发现的全面分解,包括模拟攻击的影响和防御建议。
- **[攻击者活动日志](docs/adversary-activity-log.md)** — 在模拟阶段执行的所有命令的按时间顺序记录。
- **[威胁狩猎笔记](docs/threat-hunting-notes.md)** — 通过 Sysmon 日志进行数据透视和隔离恶意工件的技术方法。
## 🏗️ 仓库结构
```
hunt-forge/
│
├── README.md [Project overview and detection workflow]
│
├── docs/
│ ├── adversary-activity-log.md [Timeline of simulated attacker activity (Atomic Red Team execution)]
│ ├── threat-hunting-notes.md [Analyst threat hunting methodology and investigation notes]
│ └── analysis-report.md [Detection engineering findings and defensive recommendations]
│
├── sigma/ [Custom Sigma detection rules authored during the investigation]
│ ├── win-powershell-download-cradle.yml
│ ├── win-powershell-mimikatz-keywords.yml
│ └── win-rundll32-comsvcs-minidump.yml
│
└── evidence/
│
├── exports/
│ ├── sysmon-logs.evtx [Collected Sysmon telemetry from the simulated attack]
│ └── hayabusa-results.csv [Detection results produced by Hayabusa]
│
└── screenshots/ [Visual evidence supporting detection and analysis]
```
## 👤 作者
**Tanya Priya**
**日期:** 2026 年 4 月Atomic Red Team executes TTPs"] B["Capture
Sysmon generates high-fidelity process telemetry (Event ID 1)"] C["Hunt
Hayabusa parses EVTX logs against 3000+ Sigma rules"] D["Analyze
Analyst reconstructs attack timeline"] A --> B --> C --> D ```
标签:adversary emulation, AI合规, Atomic Red Team, ATT&CK映射, Cloudflare, Conpot, .evtx, Hayabusa, IPv6, LSASS, MITRE ATT&CK, OpenCanary, PowerShell, Sigma规则, Sysmon, TGT, Windows安全, 事件日志分析, 假设驱动狩猎, 凭证转储, 安全实验室, 安全工具集合, 安全运营, 对手模拟, 手动威胁狩猎, 扫描框架, 攻防演练, 数据泄露检测, 目标导入, 端点监控, 管理员页面发现, 网络信息收集, 网络安全, 蓝军, 进程遥测, 速率限制处理, 隐私保护