zion652-crypto/Threat-Hunting-Ransomeware

# 威胁狩猎案例：疑似勒索软件与 DCSync 攻击 ## 概述 本项目记录了一次威胁狩猎调查，涉及可疑的 PowerShell 执行、系统侦察以及异常的 Active Directory 复制活动。 目标是利用基于主机的日志和网络流量分析来识别潜在的攻击者行为。 ## 场景 用户下载了一个可疑工具，导致可能的系统被入侵。调查过程使用了： 1. 事件查看器日志 2. 网络数据包捕获（Wireshark） ## 主机分析 使用以下方式执行可疑脚本的证据： 1. PowerShell 2. 执行标志：ExecutionPolicy Bypass 观察到的行为： 1. 系统日志枚举 2. 驱动与硬件检查 3. 虚拟机环境检测（Xen 驱动） 这表明： 环境侦察 ## 网络分析 Wireshark 显示： 1. 通过 135 端口的 RPC 通信 2. 使用 DRSUAPI 3. 使用 admin 凭据进行 NTLM 身份验证 可疑活动： 来自非域控制器的 Active Directory 复制请求 这强烈暗示： DCSync 攻击 ## 妥协指标（IOCs） 1. PowerShell 脚本：superimportant-updated.ps1 2. 使用 ExecutionPolicy Bypass 执行 3. 内部通信：10.0.0.20 → 10.0.0.10 4. 使用管理员账户：LAB\admin 5. 可疑二进制文件：mimikatz.exe 6. 从受感染计算机提取的哈希值 ## 攻击链 1. 用户下载恶意工具 2. 使用绕过模式执行 PowerShell 脚本 3. 执行系统侦察 4. 通过 DCSync 技术进行凭证窃取 ## 影响 1. 潜在凭证泄露 2. 完全控制域的风险 3. 可能部署勒索软件 ## 建议 1. 隔离受影响的系统 2. 重置所有特权凭据 3. 审核域控制器活动 4. 启用高级日志记录（PowerShell 与进程创建） 5. 执行完整的恶意软件扫描 ## 展示技能 1. 日志分析（事件查看器） 2. 网络分析（Wireshark） 3. 威胁检测与关联 4. 理解 Active Directory 攻击 5. 事件报告 ## 作者 Christopher Tayo

标签：10.0.0.10, 10.0.0.20, Active Directory, AI合规, APT攻击, BurpSuite集成, Bypass执行策略, DCSync, DRSUAPI, HTTP工具, IOC, IPv6, LAB\admin, Mimikatz, Modbus, NTLM认证, Plaso, PowerShell, RPC通信, superimportant-updated.ps1, Wireshark, Xen, 事件查看器, 内部渗透, 凭证重置, 勒索软件, 协议分析, 句柄查看, 哈希提取, 域审计, 域控制器, 恶意工具, 无线安全, 日志枚举, 权限提升, 横向移动, 系统取证, 编程规范, 网络安全审计, 网络通信, 虚拟机检测, 隔离主机, 驱动检测, 高级日志记录