sivadyt/IR-Reports

# 事件响应报告 **分析师：**Ty | **学校：**Metro State University | **平台：**SimSpace LiveFire SimSpace LiveFire 演练中进行的网络安全培训事件响应记录。每次演练都涉及使用 Splunk、Sysmon 和 Windows 事件日志实时调查的真实模拟攻击。 ## IR 演练 | # | 日期 | 威胁行为者 | 场景 | 严重性 | |---|------|-------------|----------|----------| | 1 | 2026年4月2日 | Silk Typhoon | RAT 妥协与 Exchange 窃取 | 🔴 严重 | | 2 | 2026年4月14日 | APT28 / Fancy Bear | 鱼叉式网络钓鱼、C2、数据窃取 | 🔴 严重 | ## 演练 1 — Silk Typhoon — RAT 妥协与 Exchange 窃取 **日期：**2026年4月2日 **分析师：**Ty **环境：**SimSpace LiveFire（Metro State University） **威胁行为者：**Silk Typhoon ### 概述 4月2日，我们的团队在 SimSpace 上参与了一次实时事件响应演练。本报告记录了使用 Splunk 进行实时调查的完整过程，涵盖从初始检测到凭据窃取、横向移动、持久化以及已确认的电子邮件窃取。 ### 上下文 | 字段 | 值 | |-------|-------| | 演练 | SimSpace LiveFire — IR 场景 | | 日期 | 2026年4月2日 | | 时间窗口 | 上午 8:00 - 上午 10:00（EST） | | 检测源 | Splunk 代理日志 — 异常出站 HTTP | | 患者零 | 172.16.4.101 — Charley Fritz 工作站 | | 受感染主机 | 3 台已确认 | | 严重性 | 严重 | ### 攻击概述 一台工作站通过一个自定义 RAT（`procdump.exe`）被植入到 `C:\Users\Public\` 中。该恶意软件与服务器建立 C2 通信，在内存中下载 Mimikatz，密码喷洒以横向移动到第二台机器，安装 SSH 后门，并在用户登录后 15 分钟内窃取了一个用户的 Exchange 邮箱。 ### 攻击链 ``` [8:00 AM] Charley Fritz logs in → workstation 172.16.4.101 | [8:55 AM] procdump.exe executes from C:\Users\Public\ |-- Beacons to estonine.com every ~20s (port 80) |-- Registers: GET /register/br-win10-1/windows └-- Receives ~10KB command payloads each cycle | [8:59 AM] Password spray → \\dev-win10-2 |-- 100 random passwords attempted via net use |-- Fallback: hardcoded Simspace1!Simspace1! └-- SUCCESS at 8:59:29 AM | [9:00 AM] Mimikatz → LSASS dump |-- sekurlsa::logonpasswords └-- NTLM hashes extracted | [9:05 AM] Lateral movement → dev-win10-2 (172.16.5.102) |-- PsExec / net use with stolen credentials └-- procdump.exe dropped in C:\Users\Public\ | [9:10 AM] SSH backdoor installed on dev-win10-2 |-- OpenSSH for Windows installed silently └-- Listening on port 22 | [9:15 AM] Exchange mailbox exfiltration └-- charley.fritz@site.lan mailbox exported via PowerShell ``` ### 关键 IOC | 类型 | 值 | |------|-------| | 恶意二进制文件 | `C:\Users\Public\procdump.exe` | | C2 服务器 | `estonine.com`（端口 80） | | 患者零 | 172.16.4.101（Charley Fritz） | | 横向移动目标 | 172.16.5.102（dev-win10-2） | | 硬编码凭据 | `Simspace1!Simspace1!` | | 窃取目标 | `charley.fritz@site.lan` Exchange 邮箱 | | 后门 | 22 端口上的 OpenSSH（dev-win10-2） | ### MITRE ATT&CK 映射 | ID | 战术 | 技术 | |----|--------|-----------| | T1059.001 | 执行 | PowerShell | | T1078 | 权限提升 | 有效账户 | | T1110.001 | 凭据访问 | 密码喷洒 | | T1003.001 | 凭据访问 | LSASS 内存转储 | | T1021.002 | 横向移动 | SMB / Windows 管理共享 | | T1098 | 持久化 | SSH 后门 | | T1114.002 | 窃取 | 远程电子邮件收集 | | T1071 | C2 | 标准应用层协议（HTTP） | ## 演练 2 — APT28 / Fancy Bear — 鱼叉式网络钓鱼、C2 与数据窃取 **日期：**2026年4月14日 **分析师：**Ty **环境：**SimSpace LiveFire（Metro State University） **威胁行为者：**APT28 / Fancy Bear ### 概述 检测并调查了一次模拟的 APT28 攻击。攻击源自红队基础设施（Chimera，210.210.210.70），目标是一台 Windows 10 工作站 dev-win10-3（172.16.5.73）。初始访问是通过一个鱼叉式网络钓鱼链接实现的，该链接交付了一个伪装的二进制文件 photos.exe，由用户 site\thomas.michael 手动执行。该恶意软件执行了屏幕截图、文档发现、凭据窃取和数据窃取。攻击被限制在单个主机上，没有确认的横向移动。 ### 上下文 | 字段 | 值 | |-------|-------| | 日期 | 2026年4月14日 | | 初始访问 | 鱼叉式网络钓鱼链接 — 伪装二进制文件 photos.exe 的驱动下载 | | 受影响主机 | dev-win10-3（172.16.5.73） | | 被破坏用户 | site\thomas.michael | | C2 服务器 | 172.16.2.6:8080（site-proxy.site.lan） | | 窃取目标 | http://fastdataexchange.org/ | | 红队 C2 | 210.210.210.70（Chimera） | | 严重性 | 严重 | ### 攻击时间线 | 时间（ET） | 事件 | |-----------|-------| | 19:57 | photos.exe 由 thomas.michael 通过 explorer.exe 执行 | | 19:58 | 开始进行进程、外设和文件/目录发现 | | 20:00 | PowerShell 枚举 C:\Users 上的 Office 和 PDF 文档 | | 20:01 | 通过 PowerShell PrintScreen 自动化进行屏幕截图 | | 20:02 | 使用硬编码的管理员凭据提升为 Administrator | | 20:08 | 从 hostsvenet.com 下载 help_win_x86.exe | | 20:08 | 通过注册表运行键和登录脚本实现持久化 | | 20:08 | 使用 attrib +h 隐藏文件，时间戳伪装为 1969年1月1日 | | 20:08 | 通过 HTTP POST 向 fastdataexchange.org 窃取数据 | | 20:08 | 清除应用程序和系统事件日志 | | 20:10 | 窃取完成后删除暂存文件 | | 20:14 | 清除 site-mail.site.lan 上的 Exchange 日志 | ### 使用的 Splunk 查询 **从 C:\Users\Public 查找执行** ``` index=* Image="*\\Users\\Public\\*" | stats count min(_time) as first_seen max(_time) as last_seen by host, User, Image, ParentImage, CommandLine | sort - last_seen ``` **所有连接 C2 的主机** ``` index=* dst_ip="172.16.2.6" dst_port=8080 | stats count min(_time) as first_seen max(_time) as last_seen by src_host_name, process_path, user_name | sort - first_seen ``` **完整的横向移动命令映射** ``` index=* ParentImage="*\\photos.exe" | stats min(_time) as start_time values(Image) as child_processes values(CommandLine) as commands_executed by host, User, ParentImage | convert ctime(start_time) ``` **确认数据窃取** ``` index=* "fastdataexchange.org" | table _time, host, user_name, process_path, CommandLine ``` **日志清除事件** ``` index=* EventCode=1102 OR EventCode=104 | table _time, host, user_name, Message ``` ### 关键 IOC | 类型 | 值 | |------|-------| | 恶意二进制文件 | C:\Users\Public\photos.exe | | 第二阶段负载 | C:\Users\Public\help_win_x86.exe | | 暂存目录 | C:\Users\Public\Downloads\-temp482 | | 屏幕截图转储 | C:\Windows\Tasks\temp482\ | | 内部 C2 中继 | 172.16.2.6:8080 | | 窃取服务器 | http://fastdataexchange.org/ | | 负载来源 | hostsvenet.com | | 红队 C2 | 210.210.210.70（Chimera） | | 被破坏用户 | site\thomas.michael | | 硬编码凭据 | Administrator@site / Simspace1!Simspace1! | | 持久化键 | HKCU\Software\Microsoft\Windows\CurrentVersion\Run (BackgroundColor) | ### MITRE ATT&CK 映射 | ID | 战术 | 技术 | |----|--------|-----------| | T1566.002 初始访问 | 鱼叉式网络钓鱼链接 | | T1204.002 | 执行 | 用户执行：恶意文件 | | T1059.001 | 执行 | PowerShell | | T1547.001 | 持久化 | 注册表运行键 | | T1037.001 | 持久化 | 登录脚本 | | T1078 | 权限提升 | 有效账户 | | T1036 | 防御规避 | 伪装 | | T1070.001 | 防御规避 | 日志清除 | | T1070.006 | 防御规避 | 时间戳篡改 | | T1564.001 | 防御规避 | 隐藏文件和目录 | | T1083 | 发现 | 文件和目录发现 | | T1120 | 发现 | 外设设备发现 | | T1057 | 发现 | 进程发现 | | T1074 | 收集 | 数据暂存 | | T1113 | 收集 | 屏幕截图 | | T1071 | C2 | 标准应用层协议 | | T1105 | C2 | 入口工具传输 | | T1041 | 窃取 | 通过 C2 通道窃取 | *在分隔线下方新增演练部分*

标签：AI合规, APT, C2通信, DNS 反向解析, Exchange邮件泄露, HTTP工具, Incident Response, IP 地址批量处理, SimSpace LiveFire, Sysmon, T1003, T1005, T1027, T1055, T1056, T1057, T1059, T1071, T1078, T1105, T1110, Windows事件日志, 凭证盗窃, 勒索软件模拟, 大学网络安全, 实战演练, 横向移动, 编程规范, 网络信息收集, 网络安全训练, 蓝队实战