Matt-Hax/Threat-Hunting-Scenario
GitHub: Matt-Hax/Threat-Hunting-Scenario
一份关于 Scattered Spider 组织的威胁狩猎报告模板,展示了如何通过日志查询与 MITRE 映射复盘 BEC 攻击链。
Stars: 0 | Forks: 0
事件报告 // IR-2026-0225-BEC
威胁狩猎报告:
Scattered Spider
Scattered Spider
商业电子邮件入侵调查
触发条件
LogN Pacific Financial Services 接到了银行欺诈部门的紧急来电。一笔价值 £24,500 的供应商付款被重定向至未知账户。收款银行将该交易标记为可疑并冻结了资金。财务团队坚称他们遵循了标准流程。
初始报告
财务员工 Mark Smith 在 2 月 25 日晚上报告了“奇怪的 MFA 通知”。他在家看电视时不断收到登录确认提示,最终同意了一个以让通知停止。第二天早上,同事发现存在无人创建的收件箱规则。
目标
确认系统被入侵。识别攻击者基础设施。界定影响范围。确定创建了哪些收件箱规则、发送了哪些邮件以及访问了哪些数据。识别威胁行为体。
事件负责人 // 启动简报
“我们确认了一笔欺诈性电汇。£24,500 被转至未知账户。银行冻结了资金。财务部门说他们遵循了流程……他们收到了来自一位已知同事的邮件,邮件中提供了更新后的银行信息并处理了付款。”
“那位同事是 Mark Smith。Mark 报告昨晚有奇怪的 MFA 通知。他同意了一个只是为了让它停止。今天早上他的团队发现了无人创建的收件箱规则。我需要你立刻查看登录日志。确认入侵、识别攻击者基础设施,并告诉我他们是如何绕过 MFA 的。时间紧迫。”
调查线索
线索 01
受损账户
目标:在调查开始之前,确认受损身份。
通过查询登录日志(SignInLogs)中的攻击时间窗口,确认受害用户为 Mark Smith。
使用的查询
[在此粘贴查询截图]
结果
[在此粘贴结果截图]
线索 02
攻击源 IP
目标:定位攻击者的源 IP。
为了找到 Mark 的正常 IP,查询了攻击时间窗口之前的登录数据,并与攻击开始时的 IP 地址进行了对比。
使用的查询
[在此粘贴查询截图]
结果
[在此粘贴结果截图]
线索 03
攻击来源国家
目标:使用 IP 地址定位攻击者的来源国家。
使用 iplookup.org 获取攻击者 IP 的地理位置数据,确认来源为荷兰。
结果
[在此粘贴 IP 查找截图]
线索 04
MFA 拒绝错误代码
目标:什么错误代码表示 MFA 被要求但未完成?
在攻击时间窗口内查询登录日志并筛选失败的认证尝试,结果返回了表示 MFA 被要求但未完成的错误代码。
使用的查询
[在此粘贴查询截图]
结果
[在此粘贴结果截图]
线索 05
MFA 疲劳强度
目标:在 Mark 接受之前,有多少个 MFA 推送请求发出?
筛选登录日志并在攻击时间窗口内按时间排序 ResultSignatures,确认 Mark 在接受之前收到了 3 个 MFA 推送请求,这与推送轰炸(MFA fatigue)攻击一致。
使用的查询
[在此粘贴查询截图]
结果
[在此粘贴结果截图]
线索 06
访问的应用
目标:初始访问后,攻击者访问了哪个具体应用?
登录日志按攻击者成功认证的时间排序,攻击者首先访问了 Outlook on the Web。
使用的查询
[在此粘贴查询截图]
结果
[在此粘贴结果截图]
线索 07 & 08
操作系统与浏览器
目标:查找攻击者的操作系统与浏览器。
检查登录日志中的 DeviceDetail 字段,揭示了攻击者的操作系统与浏览器信息。
使用的查询
[在此粘贴查询截图]
结果
[在此粘贴结果截图]
线索 09 & 10
首次认证后操作与规则创建
目标:攻击者成功访问账户后做的第一件事是什么?
CloudAppEvents 表提供了 Office 365 及其他云服务的遥测数据。查询该表显示攻击者首先访问了 Mark 的邮件项目(Exchange),并发现了收件箱规则创建的证据。
使用的查询
[在此粘贴查询截图]
结果
[在此粘贴结果截图]
线索 11 – 14
转发规则名称与详情
目标:找出攻击者创建的转发规则名称及其详情。
解析 CloudAppEvents 中的 RawEventData 字段发现攻击者尝试隐藏其活动。名称字段留空。规则将包含特定财务关键词的邮件转发至外部地址
insights@duck.com。StopProcessingRules 设为 True 以阻止后续规则评估并降低检测风险。使用的查询
[在此粘贴查询截图]
结果
[在此粘贴结果截图]
线索 15 & 16
删除规则名称与关键词
目标:是否存在用于删除消息并掩盖攻击的第二条规则?
发现了第二条名为
.. 的规则。该规则会自动删除包含与安全警报和可疑活动通知相关关键词的入站邮件。使用的查询
[在此粘贴查询截图]
结果
[在此粘贴结果截图]
线索 17 – 20
BEC 攻击
目标:搜索 EmailEvents 以查找欺诈邮件的收件人。
使用 Mark Smith 的显示名称查询 EmailEvents 返回了完整的攻击链。欺诈邮件的收件人为
j.reynolds@lognpacific.org。攻击者使用了线程劫持以提升邮件的表观合法性。主题行为:RE: Invoice #INV-2026-0892 - Updated Banking Details。使用的查询
[在此粘贴查询截图]
结果
[在此粘贴结果截图]
线索 21
访问的云应用
目标:攻击者还访问了哪些内容?
CloudAppEvents 确认攻击者在同一会话中也访问了 Mark Smith 的 Microsoft OneDrive。
使用的查询
[在此粘贴查询截图]
结果
[在此粘贴结果截图]
线索 22
访问的 SharePoint 应用
目标:攻击者访问的其他云应用是什么?
进一步查询 CloudAppEvents 发现攻击者还访问了 Microsoft SharePoint。
使用的查询
[在此粘贴查询截图]
结果
[在此粘贴结果截图]
线索 23
会话关联
目标:检查 CloudAppEvents 中的收件箱规则事件。在 RawEventData 中找到 AppAccessContext.AADSessionId,然后确认其与登录日志中的 SessionId 匹配。
从 CloudAppEvents 的 RawEventData 提取的
AADSessionId 值与登录日志(SignInLogs)中的 SessionId 字段匹配,确认攻击者从认证到后渗透活动的单一连续会话。使用的查询
[在此粘贴查询截图]
结果
[在此粘贴结果截图]
线索 24
条件访问状态
目标:条件访问策略可以阻止来自未受管理设备或高风险位置的登录。检查攻击者的成功登录。ConditionalAccessStatus 是什么?
筛选登录日志并查看攻击开始时的
ConditionalAccessStatus 字段,确认未对攻击者的登录应用任何条件访问策略。使用的查询
[在此粘贴查询截图]
结果
[在此粘贴结果截图]
线索 25 & 26
MITRE ATT&CK 映射
目标:将攻击方法映射到 MITRE ATT&CK 框架。
MFA 疲劳映射到 T1621,因为攻击者通过反复推送来施压用户批准。收件箱规则创建映射到 T1114.003(邮件转发),若用于转发和窃取邮件;或 T1564.008(隐藏应用),若用于隐藏警报和掩盖恶意活动。
| 技术 ID | 名称 | 观察行为 |
|---|---|---|
T1621 | MFA 请求生成 | 反复推送轰炸直到受害者批准 |
T1114.003 | 邮件转发规则 | 财务邮件静默转发至 insights@duck.com |
T1564.008 | 邮件隐藏规则 | 删除规则抑制安全警报通知 |
线索 27
凭证来源
目标:通常为类似组织提供初始凭证的恶意软件类型是什么?
通常提供这些被盗凭证的恶意软件类型是 信息窃取器(infostealer)。信息窃取器旨在从受感染系统收集保存的密码、浏览器 Cookie、会话令牌、自动填充数据及其他敏感信息。威胁行为者随后在地下市场出售这些数据以用于后续攻击。常见家族包括 RedLine、Raccoon 和 Lumma。
线索 28
即时遏制
目标:首要补救措施是什么?
首要行动是禁用 Mark Smith 的账户并强制重置密码。
线索 29
威胁行为体归因
目标:本次调查中观察到 MFA 疲劳、收件箱规则持久化、针对财务的 BEC 以及使用匿名基础设施。这是谁的行为?
Scattered Spider。 观察到的技术、基础设施和攻击目标特征与 Scattered Spider(亦跟踪为 UNC3944)一致,这是一个以经济利益为导向的威胁组织,曾对 MGM Resorts、Caesars Entertainment 以及多家英国零售组织发起过高调入侵。
标签:APT, BurpSuite集成, CSS排版, DAST, Google Fonts, HTML报告, IBM Plex Mono, IBM Plex Sans, IOC, SANS, Scattered Spider, SEO, TTPs, 关键词优化, 内容策略, 前端展示, 响应式布局, 多模态安全, 威胁情报, 威胁报告, 字体加载, 安全运营, 开发者工具, 恶意软件分析, 扫描框架, 攻击分析, 数字取证, 数据可视化, 数据展示, 浏览器取证, 红队, 网络威胁, 网络安全, 自动化脚本, 视觉设计, 隐私保护