92UKRHUYCOEV/SCATTERED-INVOICE

# 🛡️ BEC 调查 – MFA 疲劳攻击（Scattered Spider）    ## 🚨 概述 本项目记录了一次针对商业电子邮件入侵（BEC）的完整安全运营中心（SOC）调查。 攻击者利用了以下手段： - MFA 疲劳（推送轰炸） - 收件箱规则持久化 - 内部电子邮件伪造（线程劫持） - 云数据访问（OneDrive / SharePoint） 调查使用了以下工具： - Microsoft Sentinel（KQL） - SigninLogs、CloudAppEvents、EmailEvents - MITRE ATT&CK 框架用于威胁映射 ## 🎯 关键成果 - 识别导致账户妥协的 MFA 疲劳攻击 - 关联身份、电子邮件和云遥测中的攻击者活动 - 检测用于持久化和规避的恶意收件箱规则 - 确认针对财务运营的内部欺诈电子邮件 - 识别 Microsoft OneDrive 中的妥协后数据访问 ## 攻击流程（杀伤链）

### 图 1 – BEC Attack Kill Chain ## 🔎 检测与分析 ### 关键工件 - **KQL 查询与检测规则（主要）** 调查查询用于识别攻击者行为，随后优化为生产检测规则。 - `queries`（即将推出） - [`sentinel-analytics.md`](./detection-rules/sentinel-analytics.md) – 主要检测规则 - **自动化 / SOAR** 请参见 [playbooks.md](./automation/playbooks.md) 获取响应剧本 🚨 检测能力 本项目包括： - MFA 疲劳检测（T1621） - 收件箱规则持久化检测（T1564.008） - 电子邮件外泄监控（T1114） - BEC 欺诈检测（T1566） - 妥协后数据访问检测（T1213） - 基于会话的攻击关联（T1078） 所有检测均为： - 生产就绪 - 与 MITRE ATT&CK 兼容 - 针对 Microsoft Sentinel 设计 ⚙️ 自动化与响应 SOAR 剧本开发用于： - 吊销用户会话 - 移除恶意收件箱规则 - 清除欺诈电子邮件 - 通知 SOC 和受影响用户 - 用关联活动丰富事件 – 参考：/automation/playbooks.md 📁 项目结构 - /queries - 调查期间使用的 KQL 查询 - /detection-rules - Microsoft Sentinel 分析规则 - sentinel-analytics.md – 主要检测参考 - /automation - SOAR 剧本和响应工作流 - /docs 最终事件报告和文档 🏆 展示技能 - 安全事件调查（SOC） - Microsoft Sentinel 与 KQL - 威胁检测工程 - MITRE ATT&CK 映射 - 基于身份的攻击分析 - SOAR 自动化（Logic Apps） 🧠 关键见解 本次调查表明，现代攻击者如何： - 利用用户行为（MFA 疲劳） - 通过收件箱规则建立持久性 - 完全在受信任的云服务中操作 - 在不使用恶意软件的情况下执行欺诈 有效的检测需要关联身份、电子邮件和云活动，而不是依赖单一数据源。 - `/queries` → 调查期间使用的 KQL 查询 - `/docs` → 最终事件报告和文档（占位符）

标签：AMSI绕过, BEC, Cloudflare, Kill Chain, KQL查询, MFA疲劳, Microsoft Sentinel, MITRE ATT&CK, OneDrive, Playbook, SharePoint, SOAR自动化, SOC分析, 云数据访问, 内部邮件伪造, 商业邮件入侵, 威胁映射, 威胁检测, 安全运营, 微软哨兵, 扫描框架, 推送轰炸, 收件箱规则, 攻击链, 数据泄露, 检测规则, 生产检测, 电子邮件安全, 网络安全, 网络资产发现, 身份安全, 邮件劫持, 隐私保护